趨勢科技在 2022 年第 1 季發現大量感染 Emotet 最新變種的案例,這些變種結合了新、舊技巧來誘騙受害者點選惡意連結並啟用巨集內容。
Emotet 殭屍網路是資安界非常知名的惡意程式,因為它擅長利用垃圾郵件來進入受害電腦,然後將受害電腦的存取權限包裝成服務來販賣,這就是它最有名的惡意程式服務 (Malware-as-a-Service,簡稱 MaaS)。一些其他知名惡意程式,如 Trickbot 木馬程式 、Ryuk 和 Conti 勒索病毒在過去都曾經在攻擊時用到此類服務。
2021 年 1 月傳來了Emotet 集團遭破獲的好消息,這是由加拿大、法國、德國、立陶宛、荷蘭、烏克蘭、英國、美國等多國執法機關共同合作的「Operation Ladybird」瓢蟲行動,這起行動關閉了 Emotet 的基礎架構。但事實證明,這個殭屍網路生命力堅強,在當年的 11 月便死灰復燃。根據 AdvIntel 研究人員指出,他們之所以能夠東山再起,有很大原因是 Conti 駭客集團非常希望能跟 Emotet 繼續合作,因為殭屍網路對於勒索病毒集團突破企業防線扮演著不可或缺的角色。
在 2022 年第 1 季期間,趨勢科技發現有許多地區 (圖 1) 和各種不同產業 (圖 2) 感染了大量的 Emotet 最新變種。根據我們的監測資料,絕大部分的感染案例都集中在日本,其次是亞太地區以及歐洲、中東與非洲 (EMEA) 地區。這很可能是 Emotet 駭客集團為了吸引其他駭客使用他們的 MaaS 服務而針對一些獲利較高的產業發動攻擊,例如製造業與教育產業。
繼續閱讀趨勢科技披露了 Earth Berberoka 在各平台上用來攻擊線上博弈網站的工具和技巧。
趨勢科技發現了一個專門瞄準線上博弈網站的「進階持續性滲透攻擊」(APT 攻擊) 集團,我們將這個集團命名為 Earth Berberoka (亦稱 GamblingPuppet),他們使用中國駭客的升級版舊式惡意程式家族,如 PlugX 與 Gh0st RAT,此外也用到一個全新的多重階段惡意程式家族 (我們命名為「PuppetLoader」)。Earth Berberoka 使用了多種平台的惡意程式家族來攻擊 Windows、 Linux 和 macOS 作業系統。
根據趨勢科技的分析, Earth Berberoka 的主要攻擊目標是中國境內的線上博弈網站。但也有證據指出他們曾經攻擊非博弈網站,包括某個教育相關的政府機關、兩家 IT 服務公司,以及一家電子製造商。
從 2020 年 12 月 12 日至 2022 年 4 月 29 日,趨勢科技總共在中國境內記錄到 15 次冒牌 Adobe Flash Player 安裝程式下載,其中有 8 次是從某個網站重導到惡意的 Adobe Flash Player 網站 (5 次從美國的合法新聞網站,3 次從某個不明網站,其中 2 次來自香港,1 次來自馬來西亞),並且在台灣境內偵測到 1 次 PlugX DLL 下載。
繼續閱讀在後疫情時代,許多人現在都改在家工作(Work-From-Home,WFH),使得企業的資安規定鞭長莫及,所以詐騙集團正利用這個機會來誘騙並威脅受害人。其中一種詐騙手法就是性愛勒索郵件(Sextortion Emails),歹徒會利用某種可能讓你覺得丟臉的性愛內容來要脅你,以便達到他們的目的。比方說,他們會在郵件中宣稱已經錄下你看 A 片自嗨的畫面。
還有一種詐騙是黑函(Blackmail )歹徒會宣稱已經取得了你公司、個人或健康方面的資訊,並威脅你如果不支付贖金的話,就要將照片、影片或機敏資料發送給你的所有聯絡人。像這樣的詐騙相當普遍,而且會持續不斷演進。
◼延伸閱讀: 「不給錢,就公開你看色情網站的側錄影片」 收到性愛勒索郵件該做的五件事「你瀏覽色情網站,已被側錄」性愛勒索出現 LINE 版!
這類詐騙的郵件內容通常千篇一律,唯一修改的只有收受你贖金的比特幣Bitcoin錢包位址。
以下就是一個範例:
繼續閱讀
