激進駭客間諜團體 Pawn Storm 如何利用免費網站郵件服務,鎖定目標攻擊重要人士?

就算使用者變更了帳號密碼,歹徒的應用程式還是能夠存取該帳號,除非…..

Pawn Storm 利用 OAuth 開放認證機制從事進階社交工程詐騙

Pawn Storm 是一個從 2004 年活躍至今的激進駭客間諜團體。根據趨勢科技最新的研究顯示,該團體一直想盡各種辦法、盡各種手段來試圖從攻擊目標竊取重要資訊。他們最擅長也最令人擔憂的是利用網路釣魚(Phishing)來騙取帳號登入資訊。2016 年受害對象包括:美國民主黨全國代表大會 (Democratic National Convention,簡稱 DNC)、德國基督教民主黨 (Christian Democratic Union,簡稱 CDU)、土耳其國會和政府機關、蒙特內哥羅國會、世界反運動禁藥機構 (World Anti-Doping Agency,簡稱 WADA)、半島電視台 (Al Jazeera) 以及其他多家機構。

本文探討 Pawn Storm 如何利用開放驗證 (Open Authentication,簡稱 OAuth) 機制來從事進階社交工程詐騙。駭客在 2015 至 2016 年間攻擊了不少使用免費網站郵件服務的重要人士。

OAuth 如何遭到利用?

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制,此機制的好處是使用者不須提供自己的帳號密碼,而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
繼續閱讀

攻擊舊金山市交通局的勒索病毒HDDCryptor 變種:小更新仍造成大威脅

自從在今年九月第一次寫到關於HDDCryptor的發現,趨勢科技就一直緊密追踪此一勒索病毒Ransomware(勒索軟體/綁架病毒)的演變。它在上個禮拜出現了一個新版本。根據分析,這新變種在最近被用來攻擊舊金山市交通局(SFMTA)。系統被入侵後,所有的電子售票機都出現了「停止服務」或是「捷運(地鐵)免費」的訊息。

⊙延伸閱讀: 勒索病毒造成藍色當機畫面:HDDCryptor使用商業工具來加密網路分享和鎖住硬碟

此次攻擊就跟我們在HDDCryptor的其他版本所看到的一樣,勒索病毒會植入一些工具來加密整個磁碟,同時會加密掛載的網路磁碟。趨勢科技認為此次攻擊並沒有用漏洞攻擊套件和自動安裝工具來入侵感染受害者。而是先透過針對性攻擊/鎖定目標攻擊(Targeted attack )或攻擊漏洞等作法取得對機器的存取能力,接著再手動執行惡意軟體。儘管我們沒有詳細資料去解釋這攻擊如何涵蓋SFMTA內的2000台機器,但很有可能是透過管理權限在所有設備上設定排程任務來達成。

繼續閱讀

孟加拉中央銀行網路洗劫案例給我們什麼啟示

孟加拉中央銀行在美國聯邦儲備銀行的帳戶遭網路駭客洗劫的事件,再次突顯網路攻擊對企業、民間機構、甚至是國家可能帶來什麼樣的衝擊。撇開此事件的損失金額、幕後黑手以及政治動機不談,基本上,此攻擊的手法及程序與任何其他網路犯罪攻擊沒什麼不同。

bank sign

此案例可說是至今最大膽的網路竊盜案件之一。要不是歹徒的一個小小輸入錯誤,受害金額很可能高達 10 億美元以上。不過,歹徒還是匯走了 8 千萬美元以上,並且款項還透過菲律賓的多個賭場來洗錢。目前調查結果指向中央銀行的電腦系統可能遭人植入惡意程式來協助此次搶案。

 


編按:原本看似天衣無縫的作案手法卻因駭客拼錯字而露出馬腳,只因轉帳時將「foundation」(基金會)誤拼成「fandation」,促使通匯銀行德意志銀行(Deutsche Bank)向孟加拉央行要求驗證,進而阻止這筆交易。


 

如果真有惡意程式涉案,那麼:

  • 駭客是如何取得交易的授權?他們是否掌握了某個擁有這項權限的帳號?如果是的話,他們是如何辦到的 (網路釣魚(Phishing)、鍵盤側錄程式或其他方式)?
  • 是否應該有什麼安全措施或管控機制可以偵測到這筆異常交易 (例如:金額過高、交易量過大等等)?

繼續閱讀

Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業

美國肯德基州亨德生市 (Henderson) 的基督教衛理公會醫院 (Methodist Hospital)網站首頁上一個紅色跑馬燈公告其網路已不幸遭到網路駭客入侵,該醫院被迫進入「內部緊急狀況」。公告上表示:「基督教衛理公會醫院目前正因電腦病毒入侵的關係而進入內部緊急狀態,網站上許多電子服務都無法使用。我們正努力解決這項問題,在恢復之前,網站服務和電子通訊將受到影響」。

醫院 醫療 醫生 手術室

該事件起因是某個勒索軟體 Ransomware 入侵了該醫院的電腦系統,挾持了醫院的檔案 (將檔案加密使其無法使用),並且向醫院勒索贖金。

[延伸閱讀:勒索軟體如何運作]

 

根據基督教衛理公會醫院資訊系統總監 Jamie Reid 的說法,該惡意程式屬於Locky 加密勒索軟體 Ransomware家族,此家族會將受感染系統上的重要檔案 (如文件和影像) 加密。受害者若想取回資料,就必須支付一筆贖金,不然就得看看未受感染的網路上是否有先前備份的資料。根據報導,駭客要求的贖金為 4 個比特幣(Bitcoin),相當於 1,600 美元。

今年二月下旬,研究人員曾發現 Locky 利用一個含有惡意巨集的 Word 檔案來入侵電腦系統。該勒索軟體 Ransomware是經由冒充寄送發票的電子郵件入侵受害者系統,郵件中挾帶一個含有惡意巨集的 Word 文件。基督教衛理公會醫院的案例正是如此,收件人也收到了惡意的電子郵件並開啟了惡意附件檔案。

[延伸閱讀:Locky:發現新型態加密勒索軟體]

醫院被迫所有作業流程都暫時改用紙本來處理

根據 Reid 的描述,此加密勒索軟體 Ransomware已從最初感染的電腦擴散至網路上的多部電腦。因此該醫院緊急將所有的桌上型電腦關機,並且逐一清查每部電腦是否遭到感染之後才讓電腦重新開機上線,在這套程序完成之前,所有作業流程都暫時改用紙本來處理。

該醫院的律師 David Park 表示:「我們幾年前就曾制定了一套周全的緊急應變體系,因此我們突然發現,當每個人都討論醫院的電腦出了狀況,或許我們應該將它當成風災來處理,因為我們基本上等於所有系統都已暫時關閉,然後再一部一部重新復原」。

然而這起事件之前不到一個月左右,另一家醫療機構才發生過類似的勒索軟體攻擊。2016 年 2 月,Hollywood Presbyterian Medical Center也曾經遭到同樣的手法攻擊,並造成了醫院營運癱瘓。該醫院最後支付了相當於 17,000 美元的比特幣當成贖金。

醫院員工的電子郵件帳號被駭客入侵,病患個資外洩

除此之外,駭客還有其他從醫療產業獲利的方法。根據報導,一家癌症治療機構21st Century Oncology Holdings前不久才發生資料外洩,共有約 200 萬名病患的資料外流。還有另一起獨立的案例是City of Hope研究醫療中心因遭到網路釣魚(Phishing)攻擊而導致某員工的電子郵件帳號被駭客入侵,竊取了一些病患姓名、病歷號碼、出生年月日、地址以及其他病患和醫療資訊。 繼續閱讀

造成烏克蘭大停電的惡意程式,不只威脅能源產業

導致12月兩起烏克蘭電力設施中斷的攻擊者,可能也曾試圖對烏克蘭礦業公司及大型鐵路公司進行類似攻擊。

【延伸閱讀:第一起由惡意軟體造成的6小時大斷電,導致烏克蘭數十萬戶住家停電】

 

這證明造成烏克蘭停電事件有關的惡意程式BlackEnergy不僅只是能源產業的問題;而延伸成為各產業的威脅,不管是公共事業和私營企業都應該意識到並準備好保護自己。雖然上述攻擊的動機一直是被重度炒作的話題,其主要目的似乎是為了癱瘓烏克蘭公共和關鍵基礎設施,可能是出自於政治動機。

我們檢視原有的入侵指標有了這些發現,包括BlackEnergy偵察和橫向移動工具及KillDisk(磁碟清除惡意軟體)等。趨勢科技追查與此事件相關的其他感染或惡意軟體。我們很快就發現Prykarpattya Oblenergo和Kyivoblenergo並非此最新BlackEnergy攻擊活動的唯一目標。

根據公開來源情報(OSINT)和趨勢科技主動式雲端截毒服務  Smart Protection Network所取得的資料,我們發現BlackEnergy和KillDisk可能也被用來攻擊烏克蘭一家大型礦業公司及一家大型鐵路公司。此外,礦業和鐵路公司所感染的惡意軟體可能與兩起電力設施攻擊中所用的BlackEnergy和KillDisk使用相同的基礎設施。

 

大型烏克蘭礦業公司的相關惡意軟體

在趨勢科技的調查過程中,我們看到攻擊烏克蘭電力設施的BlackEnergy樣本也被用來攻擊烏克蘭礦業公司。惡意軟體amdide.sys(SHA1值:2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1)似乎在2015年11月就被用來感染其目標。其他被用來攻擊烏克蘭電力設施及礦業公司的樣本有: 繼續閱讀