網路間諜 - 資安趨勢部落格

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

2017 年 06 月 08 日2017 年 06 月 16 日趨勢科技 TrendMicro

拼字和文法上的錯誤、看似不尋常的網址，瀏覽器上沒有顯示加密連線的圖案，這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客，通常擁有充沛的資源和豐富的經驗，因此不會犯下這種明顯的錯誤。不僅如此，他們會想出一些非常聰明的社交工程（social engineering ）技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件，不論使用哪一種語言，其文字都非常完美且流暢，而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上，登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具，可能導致企業敏感資料遭駭客外洩或損毀，甚至被拿來向企業勒索。

Pawn Storm 又名：Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8，這些名字聽起來很像 Instagram 帳號、機密間諜行動，或是剛剛通過的法案，但其實他們都是指同一個網路間諜集團。該集團為了達到目的，通常會從各種不同角度、利用各種不同手法來攻擊同一目標，其攻擊技巧經常屢試不爽，尤其是網路釣魚（Phishing）攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊，趨勢科技的研究報告:「網路間諜與網路宣傳：檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術：繼續閱讀

回顧17 年來 Pawn Storm 遍及全球的網路間諜行動

2017 年 05 月 05 日2017 年 05 月 05 日趨勢科技 TrendMicro

趨勢科技的研究人員在最新一份有關 Pawn Storm (別名 APT28、Fancy Bear、Strontium 等等) 的報告當中，清楚披露了該網路間諜團體的活動範圍及規模。但更值得關注的是他們所使用伎倆。根據我們的觀察，其行動最遠可追溯至 17 年前，主要攻擊目標為政府、軍事、媒體以及政治機構，足跡遍布全球。此外，報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳，而且光 2016 年就成長了 400%。

Pawn Storm 的發展史

根據我們的研究，Pawn Storm 行動最遠可追溯至 2004 年，但趨勢科技的第一份相關報告 (同時也是業界發表的第一份有關該團體的報告) 卻是在 2014 年才出爐。不過從那時起，人們就開始知道該團體專門攻擊全球可能危害俄羅斯利益的大小機構。該團體透過情報的蒐集與精密的網路釣魚（Phishing）伎倆，成功襲擊了全球各類目標。

儘管該團體在美國大選期間出盡鋒頭，但其實他們過去三年來成功入侵了非常多機構：

2014 年 6 月 – 成功入侵波蘭政府網站。
2014 年 9 月 – 攻擊美國某大型核燃料經銷商，假冒該廠商的 Outlook Web Access (OWA) 登入網頁成功騙取其員工的帳號密碼。此外，也利用假冒的 OWA 登入網頁攻擊美國及歐洲的國防軍事機構。
2014 年 12 月 – 利用該月稍早入侵的美國某軍事機構聯絡窗口取得的帳號攻擊了美國某大型報社 55 名員工的公司帳號。
2015 年 1 月 – 利用假冒 Gmail 名義的網路釣魚攻擊三位高人氣 YouTube 部落客。這些攻擊都發生在部落客於白宮訪問美國總統歐巴馬四天之後。
2015 年 2 月 – 利用惡意的 iOS 應用程式從事間諜活動。此外也利用假冒的 OWA 網站攻擊北大西洋公約組織 (NATO) 駐烏克蘭聯絡官。
2015 年 4 月 – 攻擊 NATO 會員國及法國 TV5Monde 電視台，造成該電視台多個全球頻道中斷。
2015 年 7 月 – 趨勢科技發現該團體利用一個新的 Java 零時差漏洞發動攻擊。
2015 年 7 月 – 該團體將自己的某個幕後操縱 (C&C) 伺服器導向趨勢科技的 IP 位址。
2015 年 8 月 – 爆發國內間諜行動，目標鎖定一些俄羅斯異議份子、媒體、藝術家、軍事人員，甚至還有美國資深官員。
2015 年 9 月 – 架設假冒荷蘭安全局 (Dutch Safety Board) 的 SFTP (Secure File Transfer Protocol) 檔案傳輸伺服器，並製作假冒的 OWA 伺服器來攻擊荷蘭安全局負責馬航 MH17 空難事件的調查人員。
2015 年 10 月 – 趨勢科技發現歹徒利用 Adobe Flash 零時差漏洞搭配魚叉式網路釣魚郵件攻擊多個國家的外交部。

2016 年 Pawn Storm 仍繼續從事網路間諜行動，但手法卻出現兩項重大改變。雖然歹徒依舊持續不斷騙取重要鎖定目標的帳號密碼，而且次數更加頻繁，行動也更加堅決，但歹徒卻開始朝網路宣傳發展。根據該集團使用的網路釣魚網域可以看出，其主要對象已變成了政黨與媒體。繼續閱讀

激進駭客間諜團體 Pawn Storm 如何利用免費網站郵件服務,鎖定目標攻擊重要人士?

2017 年 05 月 05 日2017 年 05 月 05 日趨勢科技 TrendMicro

就算使用者變更了帳號密碼，歹徒的應用程式還是能夠存取該帳號，除非…..

Pawn Storm 利用 OAuth 開放認證機制從事進階社交工程詐騙

Pawn Storm 是一個從 2004 年活躍至今的激進駭客間諜團體。根據趨勢科技最新的研究顯示，該團體一直想盡各種辦法、盡各種手段來試圖從攻擊目標竊取重要資訊。他們最擅長也最令人擔憂的是利用網路釣魚（Phishing）來騙取帳號登入資訊。2016 年受害對象包括：美國民主黨全國代表大會 (Democratic National Convention，簡稱 DNC)、德國基督教民主黨 (Christian Democratic Union，簡稱 CDU)、土耳其國會和政府機關、蒙特內哥羅國會、世界反運動禁藥機構 (World Anti-Doping Agency，簡稱 WADA)、半島電視台 (Al Jazeera) 以及其他多家機構。

本文探討 Pawn Storm 如何利用開放驗證 (Open Authentication，簡稱 OAuth) 機制來從事進階社交工程詐騙。駭客在 2015 至 2016 年間攻擊了不少使用免費網站郵件服務的重要人士。

OAuth 如何遭到利用？

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制，此機制的好處是使用者不須提供自己的帳號密碼，而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
繼續閱讀

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

2015 年 10 月 14 日2015 年 10 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動，以攻擊知名目標聞名，而且近兩年來更使用了 Java 有史以來第一個零時差漏洞。

在最近一波攻擊行動當中，Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計，看起來都指向一些正常的時事新聞網頁，其使用過的電子郵件主旨包括：

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

值得注意的是，其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。

近來，各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外，歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門，從事一些簡單卻極為有效的網路釣魚攻擊 ( credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示，Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示，這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

繼續閱讀

Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列

2015 年 09 月 22 日2018 年 09 月 26 日趨勢科技 TrendMicro

Pawn Storm 是一項又深又廣的持續性網路間諜行動。它曾攻擊北大西洋公約 (NATO) 會員國與美國白宮等政府機關，也曾鎖定烏克蘭和俄羅斯的一些知名政治人物，而且我們相信，歹徒的總部就位於俄羅斯。去年十月趨勢科技即曾經發表過有關 Pawn Storm 的研究報告：Pawn Storm 攻擊行動：利用轉移注意力來躲避偵測 (Operation Pawn Storm: Using Decoys to Evade Detection)，自此我們便一直持續監控及追蹤該行動的最新發展。

本文介紹有關該行動的最新發展，同時也提供一些背景資訊讓還不熟悉該行動的讀者進入狀況。

什麼是 Pawn Storm 攻擊行動？

Pawn Storm 是一項至今仍相當活躍的政治經濟網路間諜行動，專門鎖定一些知名機構和人士，從政府機關到媒體名人皆在攻擊之列。其最早的活動出現於2007 年，但直到最近，我們才掌握有關該行動的一些具體資料，包括其攻擊目標和攻擊來源。

它和其他網路間諜團體/行動有何不同之處？

Pawn Storm 在攻擊手法上和其他以政治為動機的駭客團體有明顯不同，例如：

使用挾帶 SEDNIT/Sofacy 惡意程式的魚叉式網路釣魚（Phishing）郵件來攻擊 Windows系統，或挾帶 Fysbis 或 X-Agent 惡意程式來攻擊 Linux 系統。其魚叉式網路釣魚郵件有時會使用一些當地的材料或話題來吸引收件人開啟郵件。SEDNIT 是一個擁有後門和資訊竊取行為的惡意程式。
假冒企業的 OWA 登入網頁來從事魚叉式網路釣魚郵件攻擊。其某個魚叉式網路釣魚（Phishing）魚郵件的變種會將使用者重導致假冒的 Outlook Web Access (OWA) 登入網頁，藉此竊取使用者的登入帳號密碼。此一攻擊手法的眾多受害者當中，美國國防承包商 ACADEMI (前 Blackwater 公司) 也名列其中。
利用自製的 iOS 惡意程式從事間諜活動。此 iOS 惡意程式就是趨勢科技所偵測到的 IOS_XAGENT.A 或 IOS_XAGENT.B，可從受感染的行動裝置竊取各種資訊，例如：訊息、通訊錄、定位資訊、照片，甚至錄音檔。

繼續閱讀