<更新>根據報導41 歲高中學歷嫌犯因為不爽被罰錢 冒健保局散播電腦病毒,該嫌透過網路自學成為駭客,因不滿被健保局罰錢,冒用健保局名義,寄發內含竊取個資木馬的惡意郵件,至少已經竊取一萬多筆個資。該報導中還指出警另查出,潘嫌替友人組裝電腦,還暗中安裝木馬程式,用來監視友人上網情況
有心人士發動社交工程攻擊,冒用健保局散佈木馬與後門程式 ,意圖竊取個資
有心人士冒用健保局北區業務組名義,散發內含名為「二代健保補充保險費扣繳辦法說明」RAR壓縮檔的郵件。郵件主旨則為收件民眾姓名、公司電話,以及公司名稱。
圖說:趨勢科技獨家取得有心人士冒用健保局名義發出的原始信件,
內容詳細提供各項連絡電話與方式,以取信收件者。
什麼樣的攻擊讓受害/駭者也可能成為加害/駭者?
本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。
片中2:37 駭客刻意在鎖定目標的辦公大樓前,刻意丟置一個動過手腳的 USB,猜猜看會發生什麼事?
• 2013 年 3 月 20 日在韓國發生什麼?
在 3 月 20 日下午,多家韓國民間企業遭受數次攻擊,業務運作嚴重中斷。此次事件的開始是受害企業內部數台電腦黑屏,網路凍結,造成電腦無法使用。
*本事件有一說為南韓 DarkSeoul 大規模APT攻擊事件)
4月中事件調查出爐,報導說北韓至少策畫了8個月來主導這次攻擊,成功潛入韓國金融機構1千5百次來部署攻擊程式,受駭電腦總數達4萬8千臺,這次攻擊路徑涉及韓國25個地點、海外24個地點,部分地點與北韓之前發動網路攻擊所使用的地址相同。駭客所植入的惡意程式總共有76種,其中9種具有破壞性,其餘惡意程式僅負責監視與入侵之用,相關報導:
韓國320駭客事件調查出爐,北韓花8個月潛入企業千次部署攻擊
• 誰在此次攻擊事件中受到影響?
數家韓國媒體與金融機構的網路受到影響,尤其是媒體,據報導他們的業務運作受到嚴重中斷,要完全恢復至少需要4至5天。
• 攻擊者的意圖為何?
目前還不知道攻擊者的動機,但是攻擊造成的影響是終端正常業務運作,表明了這是一次破壞行動。如果不知道攻擊者的真面目,很難去判定此次攻擊的意圖為何。
• 攻擊活動如何開始? 相關的惡意軟體如何入侵?
一封偽裝成三月份信用卡交易紀錄的郵件被送給被害者,該郵件包含兩個附件,一個是無害的 card.jpg,另一個是惡意的 .rar 文件,文件名寫著「您的帳戶交易歷史」
• 此次攻擊事件的感染途徑為何?
附件的 .rar 文件是一個 downloader,它會連接數個惡意 IP 地址並下載 9 個文件。企業內部的中央更新管理伺服器也遭受入侵而被植入惡意程序,更新管理機制讓這個惡意程序能夠相當快速地散播到所有連接此伺服器的電腦。該惡意程序會新增數個組件,其中包含一個 MBR (主開機記錄,Master Boot Record) 修改器。
• 在終端電腦上發生什麼?
這個 MBR 修改器,經趨勢科技偵測分析,定名為 TROJ_KILLMBR.SM 惡意程序。該惡意程序被設定在 2013 年 3 月 20 日執行,在這個時間之前,它只是安靜地存在系統之中。當設定的時間到達之後,TROJ_KILLMBR.SM 覆蓋MBR並且自動重啟系統,讓此次破壞行動能夠生效。它並且利用保存的登入訊息嘗試連接 SunOS、AIX、HP-UX 與其他 Linux 伺服器,然後刪除服務器上的 MBR 與文件。
對於Windows Vista 或是更新的版本,它會搜尋所有固定或移動硬碟中文件夾裡的全部文件,用重複的單詞去覆蓋文件,然後刪除這些文件與文件夾。在根目錄的文件是最後被覆蓋的。對於比 Windows Vista 舊的操作系統,它會覆蓋所有固定或移動硬碟的開機引導紀錄 (boot record)。
• 在 3 月 20 日之前有沒有對於此事攻擊事件的提前預警?
在一個趨勢科技的客戶環境中,我們能夠判斷至少在一天前,也就是 3 月 19 日,他們就已經遭遇了這個威脅。然而藉由趨勢科技威脅發現設備 DDI 的協助,他們能夠提早知道並且採取防禦措施。
• 趨勢科技對於此次攻擊事件提供什麼保護?
趨勢科技 DDI 利用偵測到相關郵件中的惡意附件,啟發式偵測名稱為 HEUR_NAMETRICK.B,我們也提供特徵碼去查殺 MBR 修改器,同時我們能夠偵測此次攻擊相關的所有 URL 與垃圾郵件。
• 趨勢科技客戶在此次事件中有受到影響嗎?
趨勢科技 DDI 能夠利用啟發式偵測與沙盒分析提示與此次攻擊相關郵件中的惡意附件。由於 DDI 提供的訊息,客戶能夠提早採取預防措施,防止威脅影響他們的系統。
面對 APT 攻擊企業該怎麼辦呢? 這是我們的建議
• 確保重要主機的防護及安全
。 駭客企圖利用具有中控管理的程式來散播惡意程式,所以包含防毒軟體、資產管理、軟體派送及 AD 等等,因此做好主機保護很重要。
。 程式本身也必須做好防護,以免成為攻擊的管道。 繼續閱讀
趨勢科技再次呼籲企業應正視客製化資安防禦策略重要性
【2013 年 3 月 27日 台北訊】上周爆發的南韓遭受駭客攻擊事件引起全球注目,也引發企業經營者及IT人員對於企業自身防禦方案是否周全的熱烈討論。全球雲端防毒廠商趨勢科技(TSE:4704)在事前透過客製化防禦策略,成功協助南韓客戶抵擋駭客攻擊,讓趨勢科技的南韓客戶事先發覺並採取回應,因此未發生任何損失。但根據過往經驗,不排除駭客會再發動另一波攻擊,趨勢科技再次呼籲企業應正視客製化防禦策略的重要性,才能確保企業免於成為駭客下波攻擊的犧牲者。透過趨勢科技的趨勢科技Deep Discovery搭配客製化防禦方案,全球六大銀行當中就有三家採用趨勢科技Deep Discovery,更有超過八十多個政府機構也採用這套解決方案免於此類攻擊。
南韓多家大型銀行及三家大型電視公司相繼在當地時間 2013 年 3 月 20 日星期三出現多台電腦失去畫面的情況。有些電腦甚至在畫面上出現骷髏頭的影像以及來自名為「WhoIs」團體的警告訊息。此攻擊是南韓同一時間遭受的多起攻擊之一。根據趨勢科技研究顯示,這是一次惡意程式攻擊的結果,歹徒一開始假冒銀行寄送主旨為「三月份信用卡交易明細」的釣魚郵件,內含會清除系統的主開機磁區 (Master Boot Record,簡稱 MBR)的惡意程式。駭客並且設定該惡意程式在 2013 年 3 月 20 日同步發作。一旦發作,將使銀行電腦系統完全癱瘓,必須逐一重灌才能回復。 繼續閱讀
在2012年上半年,我們看到有目標攻擊利用敘利亞衝突,還有遠端存取木馬(RAT) DarkComet是如何被使用,這些被記錄在下列的文章內:
之後,Anonymous集團的OpSyria或稱Operation Syria(針對敘利亞政府)最近洩露了來自敘利亞外交部(MoFA)的文件,起源是帶有惡意PDF檔案的電子郵件。這個電子郵件是在去年 – 二〇一一年十二月五日所發送。 趨勢科技進一步的調查發現這針對性電子郵件攻擊一直持續到二〇一二年三月(甚至更久),就如下圖所示。一份送到{BLOCKED}n@mofa.gov.sy,另一份被送到{BLOCKED}k@mofa.gov.sy,這兩封的寄件者都是{BLOCKED}bi@mofa.gov.sy。 
信件內容翻譯如下:
在這代號辦公室裡的同事們 請告知我們編號23號電報的收件者 感謝 大使館/阿布扎比 請打開或下載附加檔案。 祝好!
雖然先前有報告指出寄件者IP – {BLOCKED}.{BLOCKED}.57.166是在韓國,我們所看到的寄件者IP來自不同的地方,其中一個是{BLOCKED}.{BLOCKED}.151.233,設在日本東京。 
此外,查詢了在趨勢科技資料庫中類似的攻擊後,用這案例裡的命令和控制(C&C)伺服器網域名稱作參考,我們還看到這封針對性電子郵件在二〇一二年六月五日用主旨「Defense and Security 2012.doc」寄送給美國政府高層單位。我們已經提醒了相關的美國政府單位。 
繼續閱讀