資安趨勢部落格 - 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

Daserf 間諜集團以「心肺復甦術」、「防災計畫」主旨信件及日文加圖像隱碼術,騙倒日本企業

2017 年 11 月 13 日2017 年 11 月 11 日趨勢科技 TrendMicro

網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構，包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF，亦稱為 Muirim 和 Nioupale)，主要具備四種功能：執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。

不過，根據趨勢科技最近的監控顯示，歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構，其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography)，也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中)，因此更不易被察覺。

如同許多網路間諜行動一樣，REDBALDKNIGHT 集團的攻擊雖然斷斷續續，卻持續很久。事實上，REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構，至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定，這一點從其社交工程（social engineering ）技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件，日文非常流利，而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。

圖 1：REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。

圖 2：REDBALDKNIGHT 所使用的誘餌文件樣本，歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。

以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌

REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊（SPEAR PHISHING）來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌，以便能夠在背後暗中執行惡意程式，他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。繼續閱讀

《手機病毒》防止被移除、收集Google帳號、點擊FB廣告….. 覆蓋攻擊(Toast Overlay)再進化

2017 年 11 月 11 日2017 年 11 月 20 日趨勢科技 TrendMicro

趨勢科技發現有新的Android惡意軟體會利用Toast 覆蓋攻擊在行動設備上偷偷安裝惡意軟體：TOASTAMIGO，趨勢科技將其偵測為ANDROIDOS_TOASTAMIGO。其中一個惡意應用程式到2017年11月6日為止已經被安裝了10萬到50萬次，利用Android輔助功能讓它們至少能夠做到廣告點擊、安裝應用程式和自我保護/持久性功能。

覆蓋攻擊意指在其他執行中的應用程式、視窗或程序上疊加Android視圖（即圖像或按鈕）。一個典型的Toast覆蓋攻擊範例是用它來誘騙使用者點擊攻擊者所指定的視窗或按鈕。這種技巧在今年初被證實，利用的是Toast的一個漏洞（CVE-2017-0752，在去年九月修補），Toast是Android用來在其他應用程式之上顯示通知的功能。

TOASTAMIGO是我們第一次看到將這概念用來實際攻擊的案例。而就像之前的許多例子一樣，我們一定會看到此類威脅（以及它所下載/安裝的其它惡意軟體）的再進化（因為這次惡意軟體的能力相對較低調）或被其它網路犯罪份子所模仿。Android除了最新8.0（Oreo）以外的所有版本都會受到影響，所以使用早期版本的使用者也必須更新和修補自己的設備。

圖1：Toast覆蓋攻擊如何運作的範例：一個正常圖像（左）被疊加了惡意軟體所觸發的實際動作，比如請求輔助權限

圖2：Google Play上的惡意應用程式

感染鏈

這惡意軟體很諷刺地偽裝成合法的安全應用程式，應該會透過安全碼來保護設備上的應用程式。在安裝時，這些應用程式會通知使用者需要輔助功能權限來讓它運作。這是因應Android需要使用者明確授與權限的作法。授予權限後，應用程式會啟動一個看似“分析”應用程式的視窗。但在背後這應用程式會執行動作或命令，包括安裝其他的惡意軟體（因為它已經擁有權限）。

圖3：惡意軟體執行截圖

繼續閱讀

從三個來自企業內部的網路釣魚案例,談如何防範內部網路釣魚攻擊?

2017 年 11 月 10 日2017 年 11 月 03 日趨勢科技 TrendMicro

幾年前，金融時報發生了一起差點釀成悲劇的攻擊。駭客 (事後證明是敘利亞網軍) 利用一個事先入侵的電子郵件帳號，在金融時報內部發送網路釣魚郵件，進一步取得了更多電子郵件帳號的登入憑證。當 IT 人員發現這起內部網路釣魚攻擊時，立刻透過郵件通知所有使用者，並附上一個連結讓使用者更改密碼。問題是，駭客也看到了 IT 人員的這封信，因此又重發了一次該信，但是將連結改成指向駭客架設好的網路釣魚網站。這下子駭客順利取得了所有他們想要的系統帳號密碼，不過最後，駭客覺得金融時報只是個小咖，因此轉而攻擊其他媒體機構。

案例一：竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

案例二：內部 Office 365 登入憑證網路釣魚,詐財匯款得逞

案例三：駭客修改金融時報IT 人員發送給內部的密碼修改連結,差點釀成悲劇

今日資安人員日益擔心的一項問題就是「來自內部」的網路釣魚（Phishing）攻擊，也就是由企業機構內部同仁所寄來的網路釣魚郵件。內部網路釣魚郵件通常是駭客多個攻擊步驟的環節之一，駭客通常先讓使用者裝置感染惡意程式，以便掌控使用者的電子郵件信箱，或取得使用者的帳號密碼。接著，歹徒再利用這個郵件帳號在企業內部發送網路釣魚郵件以從事針對性攻擊，進而竊取企業資訊或從事勒索。除此之外，變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)也經常利用這類郵件來促使財務部門匯款。由於寄件者是內部的同仁，因此收件者很容易不疑有詐。

案例一：竊取高達 87GB敏感資料的 EyePyramid,被誤認是國家級駭客的想發財兄妹檔!

今年稍早遭到起訴的「Eye Pyramid」犯罪集團，多年來成功竊取了不少資料。他們最愛使用的技巧就是夾帶惡意附件的網路釣魚郵件，他們會先入侵一位使用者的帳號，然後再利用該帳號來入侵另一名使用者的帳號。其電子郵件附件所夾帶的惡意程式會蒐集使用者的資料，並將資料傳送給駭客，其中也包括電子郵件地址，因此他們就能尋找下一個攻擊目標。歹徒用這方法入侵了 100 多個電子郵件網域以及 18,000 個電子郵件帳號。如此龐大的規模看似是政府撐腰的駭客集團所為，但其實只是一位義大利核子工程師和他妹妹而已，兩人單純只是想靠竊取資料發財而已。

繼續閱讀

購物狂歡季,商家如何保護電子商務網站?四個抵禦網路購物威脅建議

2017 年 11 月 10 日2017 年 11 月 13 日趨勢科技 TrendMicro

東方的1111單身購物節,西方感恩節之後的黑色星期五,已經公認成為開啟網路和實體店面假日購物季的觸發事件 – 這段期間在過去幾年已經穩定地讓自身成為特殊的節日。感謝熱門的電子商務如淘寶網,亞馬遜和eBay，購物從未如此有效率。但同時，對企業和消費者來說也從來沒有如此危險。

對客戶來說，用網路找商品充滿了各種危險的可能性，因為駭客和網路騙子都正在尋找他們的下一個目標。對企業主來說，重要的是必須認真對待資訊和資料安全，不僅僅是為了自己，也為了客戶。電子商務已經打敗實體賣場成為消費者想尋找好價格的首選，因為網路購買已經變得更加方便。這對網路銷售業來說代表了一些事情 – 大量網路交易、資料安全威脅甚至是針對性竊盜。多年來，許多事件顯示出電子商務活動的成長也成為任何能夠入侵網路安全措施來駭入帳戶的駭客獲取敏感卡片資料的金礦。

[延伸閱讀：剖析資料外洩和揭開迷思]

三個購物季駭客慣用的網路威脅

在購物季，網路商店應該要採取必要措施來確保提供客戶無憂的購物體驗。為了做到這一點，企業應該要考慮一個策略，不只是要想到獲利，還要想到風險和漏洞。了解你的安全邊界可以幫助你更好地了解該如何建立正確的防禦。其中一部分是意識到可能影響到你的生意或危及你客戶的安全風險：

惡意廣告 – 在網站上（特別是在熱門電子商務網站）看到網路廣告是很正常的事，因此購物者更容易被誘騙點入顯示成彈跳式視窗或提醒警告的惡意廣告。點入這些廣告可能會在不知不覺中安裝了惡意軟體。客戶也可能經由路過式下載（drive-by download）或只是因為網頁載入了惡意廣告而受到感染。最近，已經看到惡意廣告會夾帶勒索病毒，這可能造成檔案損毀和遺失。
垃圾郵件 – 使用者喜歡在這些節日期間進行大筆交易，意味著他們更可能去觀看網路行銷。你的公司可能會寄送郵件來做行銷、銷售或提供特別優惠。然而，攻擊者會使用具備非常相似主旨或外觀的惡意郵件來誘騙客戶點入可能連到網路釣魚網站的惡意連結。繼續閱讀