《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

趨勢科技最近看到有惡意軟體會從中毒使用者的電腦裡收集微軟WordExcel文件檔,然後上傳到網路硬碟sendspace.comSendspace是一個網路分享空間,提供了檔案代管功能,讓使用者可以「發送、接收、追蹤和分享你的大檔案。」

Sendspace最近曾被用來存放偷來的資料,但並不是透過惡意軟體自動完成。根據去年底的報告,駭客利用Sendspace來處理跟上傳偷來的資料。 

但這是第一次,趨勢科技看到有惡意軟體會將竊取的資料上傳到檔案代管與傳送網站。 

這次的惡意軟體攻擊是從一個被偵測為TROJ_DOFOIL.GE的檔案 – Fedex_Invoice.exe開始。

 為了要讓使用者受到感染,一個用社交工程陷阱偽裝成聯邦快遞貨運通知的電子郵件大量寄給目標的受害者。

 《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

 一旦執行了這個檔案,TROJ_DOFOIL.GE會下載並執行TSPY_SPCESEND.A。這個下載器同時也會在感染的電腦上安裝其他惡意程式,包括了從BestAV結盟網路來的假防毒軟體變種,和從Yamba網路來的FakeHDD變種。

 另外,這一個木馬下載器還跟TSPY_SPCESEND.A共用相同的C&C伺服器。這也強烈地顯示出,做出文件竊取sendspace木馬的犯罪份子,同時也涉及了按成交計費(Pay-Per-Sell,PPS)的地下經濟。

 TSPY_SPCESEND.A是一個「拿了就走(grab and go)」木馬程式,它會在中毒電腦的本機硬碟裡搜尋微軟Word Excel 文件檔。收集到的檔案會被壓縮起來存放到使用者的暫存資料夾裡,並且利用隨機產生的密碼加密。下圖是一個文件收集壓縮檔的範例:

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

產生壓縮檔之後,TSPY_SPCESEND.A會將它送到Sendspace.com

 

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

一旦完成上傳,這個惡意軟體會取得Sendspace下載連結,然後將連結連同壓縮時用的密碼傳送到C&C伺服器。

 

 

 

下面是存放文件收集壓縮檔的Sendspace網頁截圖:

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

 

 將偷來的資料放到外部檔案存放系統成了新趨勢

 惡意軟體會利用免費的線上服務並不是新聞。利用公開的網路空間是犯罪份子存放竊取資料的另一個聰明辦法,因為他們並不需要建一個伺服器來存放大量資料。

 趨勢科技 指出這個將竊取來的資料送到外部網路或外部檔案存放系統的作法,很可能會快速地成為犯罪分子的新趨勢。我們已經看過許多案例會將竊取的資料放到網路犯罪分子所擁有的網域裡。現在,我們看到了合法的「雲端服務」也被犯罪分子拿來利用,他們可以在那存放和提取他們的戰利品。

 另外,這也為安全產業和使用者突顯出一個嚴重的問題。文件竊取和外洩不僅僅發生在目標攻擊裡,也可能發生在大規模的攻擊活動裡。

 

指揮和控制伺服器

 

當惡意軟體將含有受害者文件的ZIP壓縮檔上傳到sendspace之後,它會將sendspace下載連結加上獨特的ID、ZIP壓縮檔的密碼和受害者的IP地址傳送給指揮和控制(C&C)伺服器。

在這篇文章撰寫過程中,趨勢科技看到了至少三個C&C服務器被這惡意軟體利用:{BLOCKED}28889.ru,{BLOCKED}8483825.ru和{BLOCKED}372721.ru。這三個網域指向IP地址31.184.237.143和31.184.237.142。這些IP地址和其他一批IP地址都在同個網段裡,從2011年七月開始就被記錄曾經放有惡意檔案。這些惡意檔案包括各種殭屍網路/傀儡網路 Botnet路的變種,像是BFBot(Palevo)、NgrBot和IRCBot。

更深入的發掘這個C&C伺服器的目錄結構之後,發現了一個「開放目錄」,包含了一個記錄以下資訊的日誌檔。

 

有兩個日誌檔包含相同的資料:log.txt和serialse.txt。唯一不同的是serialse.txt被自動地過濾解析以轉成新格式(似乎是JSON格式)。日誌檔內容是關於受害者和上傳的資料,如下所示:

《木馬偷個資放雲端公共空間》假冒 FedEx快遞通知信內含木馬下載器,竊取受害者Word和Excel文件後上傳至Sendspace ,受駭IP 遍佈150 國,含政府、學術界和企業網路

趨勢科技分析了這日誌檔,發現有18,644個不重複受害者(根據惡意軟體所指派的受害者ID),21,929個不重複IP地址(遍佈150多個國家)和19,695個不重複sendspace網址。

國家

受害者(根據IP)

美國

13,939

英國

1,877

印度

669

加拿大

619

澳洲

568

西班牙

391

中國

304

墨西哥

292

土耳其

206

哥倫比亞

189

德國

178

阿拉伯聯合大公國

139

南非

134

法國

121

荷蘭

120

 

 

 有一些受害者可以根據IP地址來從區域網路資訊中心的WHOIS資料庫中查出。雖然大多數都是落在網路服務供應商的IP地址範圍裡(應該是一般用戶和商業ISP服務的用戶),但是我們能夠可以看到一些政府、學術界和企業網路。

 

趨勢科技和Sendspace所做的努力

 趨勢科技在發現這攻擊時聯絡了sendspace。跟他們分享了我們的研究結果,好協助他們部署適當的解決措施。

 在攻擊被回報時,sendspace找出並移除了超過75,000在他們伺服器所上傳的惡意壓縮檔。而根據上傳記錄,第一個壓縮檔是在2011年12月25日被是傳的,這很可能是這次惡意攻擊活動的開端。

 根據sendspace趨勢科技合作的結果,他們目前正透過一個自動化工作來監看他們的服務器,可以每分鐘檢查是否有sendspace木馬上傳壓縮檔並加以封鎖。這可以有效地將無辜受害者被偷的檔案從他們的伺服器裡拿掉。也就可以防止這次攻擊的幕後黑手來取回竊取的資料。

 趨勢科技很高興能夠協助sendspace來解決這樣濫用他們服務的行為。儘管如此,這應該不是最後一次類似的攻擊。一如往常地,趨勢科技會用各種努力,來幫助大家將網際網路變成更加安全的地方。

 @原文出處:
Malware Uses Sendspace to Store Stolen Documents
Trojan Abuses Sendspace: A Closer Look作者:Roland Dela Paz(威脅反應工程師)

 @延伸閱讀
<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動
2011 資料外洩預言成真的五件事實

鎖定單一對象的惡意程式攻擊有多高超?

專偷商業機密的Nitro 目標攻擊背後的意義

APT 進階持續性滲透攻擊:目標攻擊查明真相並不容易

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

CTO 觀點:我們從最近的 Sony 等駭客攻擊學到什麼?

現在是在駭什麼?從近日Sony 花旗等大公司被駭談駭客史

精確鎖定企業的目標攻擊與最大的弱點(內含Google與 RSA 遭目標攻擊案例)

繼假 Facebook 登入頁面後,殭屍病毒ZeuS鎖定美國陸軍銀行帳戶

相關資料:

 

@原文出處:3 Truths about Mobile Applications 作者:JM Hipolito

免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012即刻免費下載

 
◎ 歡迎加入趨勢科技社群網站
 

Comments are closed.