專門攻擊韓國網站的線上遊戲間諜軟體,進化版多了後門程式更厲駭

ONLINEG是個會竊取線上遊戲身份認證的著名間諜軟體,最近也被加入了後門功能。趨勢科技發現一個變種(偵測為TSPY_ONLINEG.OMU)除了有一般的資料竊取行為外,也會下載後門程式到受感染系統上,讓它更容易遭受更多損害。

駭客 蒙面

TSPY_ONLINEG.OMU最近出現在幾個韓國網站上,這些網站都是被入侵淪陷而含有這隻惡意檔案。根據我們的分析,這間諜軟體可能是大約一年前開始出現,被偵測為TSPY_ONLINEG.ASQ的病毒程式的新變種。

跟其他線上遊戲間諜軟體一樣,TSPY_ONLINEG.OMU會竊取特定線上遊戲的帳號和登入資料。但除此之外,如果使用者連上特定產業的網站管理介面登入頁面,就會下載一個鍵盤側錄程式/後門程式(BKDR_TENPEQ.SM)。這讓攻擊者可以竊取這些入口網站的登入認證資料。

這次攻擊所針對的公司都是韓國公司,屬於下列產業:

  • 新聞
  • 電視
  • 廣播
  • 金融
  • 購物
  • 遊戲
  • 廣告

線上遊戲在韓國的受歡迎程度是眾所周知,因此這次攻擊的幕後黑手會使用TSPY_ONLINEG.OMU並不奇怪。然而,使用ONLINEG也可能是為了要掩飾惡意軟體的真正意圖。因為這個惡意軟體家族「已知」所針對的是網路遊戲竊盜,如果沒有去檢視程式碼,人們可能會低估其潛在的威脅。  繼續閱讀

< 病毒警訊 > 播放軟體 KMPlayer更新機制異常,原來是BKDR_PLUGX 後門程式在搞鬼

趨勢科技發佈病毒警訊通知:BKDR_PLUGX。


attack

國家資通安全會報 技術服務中心於日前發布”播放軟體 KMPlayer更新機制異常”的資安通報。趨勢科技確認此為 BKDR_PLUGX家族系列之變種惡意後門程式,已於2013年8月6日星期二釋出病毒碼保護趨勢科技產品使用者。BKDR_PLUGX 為常見的惡意程式家族系列,主要具備後門程式功能以利駭客執行遠端遙控受害者電腦的行為。

依據國家資通安全應變網站所發佈之攻擊活動預警通報內容,該批 PLUGX 惡意後門程式疑似藉由 KMPlayer 影音播放程式之更新機制散佈。相關資訊請參考下列網址:

https://www.icst.org.tw/NewInfoDetail.aspx?seq=1414&lang=zh
https://www.ncert.nat.gov.tw/NoticeAna/anaDetail.do?id=ICST-ANA-2013-0018

趨勢科技已可偵測此波攻擊事件中之惡意程式。
病毒名稱:BKDR_PLUGX.ZZXX
相關惡意程式檔名:KMP_3.7.0.87.exe、ACLUI.DLL、ACLUI.DLL.UI。

病毒技術細節與惡意行為:
PLUGX 病毒家族在受感染系統中,不須經由使用者授權即可接受駭客命令進行惡意行為或竊取資料,例如:

  • 複製、新增、修改、開啟檔案;
  • 竊取使用者帳號密碼;
  • 重新啟動作業系統並以不同帳號登入;
  • 新增、修改、刪除機碼值;
  • 截取螢幕畫面或影片以蒐集使用者行為資料;
  • 連線至外部網站;
  • 終止作業程序。

PLUGX 並可讓駭客取得系統最高權限。

播放軟體 KMPlayer更新機制異常,原來是後門程式在搞鬼 繼續閱讀

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX(附件:修補程式操作說明)

趨勢科技最近發現,在特定網站上的惡意JAR檔案會攻擊尚未被修補的JRE 1.7/Java 7零時差弱點(CVE-2012-4681)。一旦漏洞攻擊成功就會下載一個後門程式,讓遠端的惡意攻擊者可以任意在受感染系統上執行所需的指令。

這個零時差漏洞攻擊碼可以在所有版本的Internet ExplorerFirefoxOpera上執行。而透過Metasploit的測試,這漏洞同樣也可以在Google ChromeSafari上執行。

 

漏洞攻擊和惡意行為的技術分析

 

受影響的弱點和新的Java 7 classcom.sun.beans.finder.ClassFinder有關,它會允許sun.awt.SunToolkit class加載、修改和執行惡意程式碼。這威脅包含下列幾種元件,HTML網頁和惡意JavaScript(index.html,被偵測為JS_FIEROPS.A)、Java Applet(applet.java,被偵測為JAVA_GONDY.A)和惡意程式(FLASH_UPDATE.exe,被偵測為BKDR_POISON.BLW)。

 

使用者可能會因為訪問某些網站而遇上這種威脅,其中一個是https://www.{BLOCKED}s.com/public/meeting/index.html,會讓人下載並加載惡意Java Applet(JAVA_GONDY. A)。接著會傳遞參數以用來下載BKDR_POISON.BLW。

 

 

使用者可能會因為訪問某些網站而下載並加載惡意Java Applet(JAVA_GONDY. A
使用者可能會因為訪問某些網站而下載並加載惡意Java Applet(JAVA_GONDY. A

 

 

 

根據趨勢科技index.html程式碼的分析,裡面的腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密。

 

 

腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密
腳本已經被用Dadong’s JSXX 0.44 VIP做出大程度的混淆加密

 

 

 

解譯這個腳本後讓我們可以拿到傳遞給惡意Java Applet的參數。下面截圖顯示出傳遞給CVE2012xxxx.Gondvv.class的參數,好用來下載惡意程式FLASH_UPDATE.exe

 

 

傳遞給CVE2012xxxx.Gondvv.class的參數,用來下載惡意程式FLASH_UPDATE.exe
傳遞給CVE2012xxxx.Gondvv.class的參數,用來下載惡意程式FLASH_UPDATE.exe

 

繼續閱讀

後門程式針對國際人權組織

趨勢科技已經找到證據確認被入侵網站的人權組織並不是唯一的攻擊目標。

前面所提的這個網站會出現內建框架(iframe)將使用者導到另一個位在巴西的被駭網站。這個網站會執行一個被偵測為JAVA_DLOAD.ZZC的惡意Java程式。JAVA_DLOAD.ZZC會利用Java漏洞CVE-2011-3544來安裝TROJ_PPOINTER.SM,而這木馬程式會再產生出BKDR_PPOINTER.SM。接著BKDR_PPOINTER.SM會連到特定網址來收送來自攻擊者的命令。它也能夠收集中毒系統內的特定資訊。

根據趨勢科技的調查,這最先被報導出來的受駭單位看來只是攻擊的目標之一,而這攻擊本身可以辨認出不同的攻擊目標。我們研究了相關的檔案和網址,發現有關人權組織的字串出現在被駭巴西網站的檔案和資料夾名稱內:

  • hxxp://{BLOCKED}.com.br/cgi-bin/ai/ai.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/ai/ai.jar

此外,從上述網址所取得的檔案程式碼也顯示這是針對這人權組織所特製的攻擊程式,因為程式碼內有出現相關的字串:

趨勢科技研究了這些蛛絲馬跡,發現在同一被駭網站上的其他資料夾和檔案使用不同的字串。這很有力地證明還存在著其他的目標。

  • hxxp://{BLOCKED}.com.br/cgi-bin/hk/hk.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/hk/hk.jar
  • hxxp://{BLOCKED}.com.br/cgi-bin/so/so.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/so/so.jar
  • hxxp://{BLOCKED}.com.br/cgi-bin/OM/om.html
  • hxxp://{BLOCKED}.com.br/cgi-bin/OM/om.jar

從這些網址所取得的檔案也出現了特定的字串在程式碼內,就跟前面我們所提到的AI例子一樣。這些惡意檔案現在也都被偵測為JAVA_DLOAD.ZZC和BKDR_PPOINTER.SM。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以針對這類型的攻擊提供防護。另外,Deep Security 和OfficeScan加上Intrusion Defense Firewall(IDF )外掛程式可以用規則「Oracle Java SE Rhino Script
Engine Remote Code Execution Vulnerability
」來保護使用者不被漏洞攻擊。同時,當網路流量中出現BKDR_PPOINTER.SM取得並送出資訊的行為時,威脅偵測系統(Threat
Discovery Appliance,TDA)會將它偵測為HTTP_REQUEST_PPOINTER

在過去幾個月內,這個被入侵的人權組織首頁至少被被當成目標好幾次了,顯示網路犯罪份子是多麼堅定的針對這網站的經常訪客。在撰寫本文時,這網站已經將惡意程式碼給清除了。對於這些有特定主旨的網站來說,因為網站訪客多半是特定族群的使用者或團體,也就容易變成針對性攻擊的目標。所以網站擁有者在面對攻擊時也要跟公司企業一樣謹慎。

@原文出處:NGOs Targeted with Backdoors作者:Erika Mendoza(威脅反應工程師)

【嘻小編伴手禮~迷你麻將組雙重送】送給新春看臉書正妹,滑鼠不爆衝的PC-cillin 2012快過年囉,嘻小編準備了伴手禮要送大家,可以放在口袋帶著走的【迷你麻將組】,春節期間小玩一下,聯絡親友感情,真不賴~

祝福大家全年不當機,平安一整年!

雙重送活動一:複製留言輕鬆抽,參加辦法,按這裡