APT攻擊 - 資安趨勢部落格

針對東南亞博弈公司的網路間諜活動

2020 年 03 月 19 日2020 年 03 月 12 日趨勢科技 TrendMicro

這波針對博弈公司的網路間諜活動背後駭客利用公開可取得以及自製工具來做到提權和進行橫向移動。所用的惡意軟體之一會用Dropbox 作為通訊及從目標取出資料的管道。

DRBControl惡意活動將用在其他網路間諜活動的惡意軟體及技術用來攻擊其目標。

Uncovering DRBControl: Inside the Cyberespionage Campaign Targeting Gambling Operations — 下載「揭露 DRBControl：解析針對博弈產業的網路間諜活動」

詮睿科技在2019 年時就其在一起事件回應所發現的後門問題聯繫了趨勢科技。我們提供了關於此後門程式進一步的情報和分析，該後門程式之前被名為DRBControl的駭客組織用來發動攻擊。這團體目前將目標放在東南亞地區，特別是博弈公司。歐洲和中東也有向趨勢科技回報成為攻擊的目標，但我們在本報告撰寫時尚無法加以證實。外洩的資料主要是資料庫和原始碼，這使得我們相信該團體的主要目的是網路間諜活動。

這起攻擊活動用了兩個之前未看過的後門程式。駭客同時還用了已知惡意軟體家族（如PlugX和HyperBro後門程式）及自製的後滲透（post-exploitation）工具。有意思的是，其中有個後門程式利用雲端儲存服務 Dropbox作為命令和控制（C&C）管道。我們已經向 Dropbox 披露了這項發現，他們也與趨勢科技一同合作解決此問題。

繼續閱讀

勒索病毒侵台居亞洲第二,僅次日本

2016 年 08 月 26 日2016 年 08 月 26 日趨勢科技 TrendMicro

APT 攻擊猖獗,資安組織戰考驗企業資安戰力掌握資安主控權,以「人」為核心,三大重點建立強大資安防禦

【台北訊】全球資安領導品牌趨勢科技，今日(25)舉辦資安界年度盛會－CLOUDSEC 2016雲端企業資安高峰論壇，面對全球資安危機，趨勢科技台灣暨香港區總經理洪偉淦現身分享台灣資安環境現況及未來趨勢，首度來台的趨勢科技網路安全策略總裁Eduardo E. Cabrera強調以「人」為企業內部資安防護核心之重要性，及資安防禦三大重點：建立資安防護策略與規範、資安事件偵測與即時監控機制建立、成立事件應變小組並打造事件處理SOP。會中同步邀請到全球頂尖資安顧問美國聯邦調查局(FBI)督導特別探員(SSA) Timothy Wallach分享全球資安犯罪情勢，協助企業打造最完善的資安防禦策略藍圖，掌握資安主控權！

圖說：趨勢科技CLOUDSEC 2016媒體分享會，邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會

台灣偵測到的勒索病毒高達2百多萬！為全亞洲第二高，僅次日本

雲端服務、行動裝置與物聯網等科技進步，使全球資安威脅層出不窮。根據趨勢科技偵測統計報告指出^註1，每5分鐘至少攔截到80萬個惡意網址、垃圾郵件或惡意軟體產生，更有1,800個新的網路威脅產生並散佈到網域中，整體資安環境面臨巨大挑戰！趨勢科技觀察，近年猖獗的網路駭客已逐漸運用勒索病毒 Ransomware (勒索軟體/綁架病毒)針對企業進行攻擊，以謀得較高的勒索利潤。根據趨勢科技研究報告顯示^註2，截至2016年第二季，台灣地區所偵測到的勒索病毒便高達2百多萬！為全亞洲第二高，僅次於日本。繼續閱讀

著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊

2016 年 08 月 19 日2016 年 08 月 19 日趨勢科技 TrendMicro

從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。IXESHE 駭客組織自台灣新政府520上任以來就開始進行密集的攻擊。從其所使用的釣魚信件來看，可以發現攻擊者對於台灣政府的組織架構及輿情相當熟捻，不停利用最新的熱門話題來製作釣魚信件

趨勢科技根據對其所使用的惡意後門程式所進行的分析，攻擊者從製造惡意程式，製作社交工程文件到送抵目標只需要5小時，也使得傳統進行特徵碼比對的防毒解決方案難以有效的偵測及封鎖。

IXESHE是著名的「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）駭客組織，從2009年開始就頻繁地進行網路間諜活動，主要針對東亞的各國政府、電子廠商和一家德國電信公司。其他目標還包括了G20的政府官員以及紐約時報。趨勢科技一直都在密切注意這個駭客組織（IXESHE）所進行的針對性攻擊/鎖定目標攻擊(Targeted attack )攻擊活動，也在2012年推出了技術白皮書來詳述 IXESHE所用的手法及攻擊特徵。IXESHE也曾在2013年及2016年涉及針對北美傳播媒體產業及高科技產業的針對性攻擊。

[延伸閱讀：IXESHE白皮書]

台灣自2009年以來就一直是IXESHE的攻擊目標，而最新的一波攻擊也更新了其所使用的後門工具及通訊模式，同時利用最新的熱門話題（包括南海仲裁案、尼伯特風災和雄三飛彈誤射事件）來透過魚叉式網路釣魚 (Spear Phishing )信件攻擊鎖定的受害者。

IXESHE 的 C&C 伺服器主要分布在台灣和美國(資ˋ料來源:IXESHE白皮書)

精心設計的社交工程誘餌

最新的這一波攻擊從2016年五月開始就進行密擊的攻擊，不停的利用最新熱門話題作為誘餌。從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。

這些精心製作的魚叉式網路釣魚信件不僅僅是利用了熱門話題。其所夾帶的釣魚文件在內容及檔案屬性等細節上也都相當考究，讓人難以分辨真假。而且這些文件所用上的各層級官員姓名、手機號碼等資訊也讓人驚訝於IXESHE對台灣新政府掌握的精細程度。

繼續閱讀

採礦業面臨的網路威脅

2016 年 07 月 15 日2016 年 07 月 12 日趨勢科技 TrendMicro

由於今日全球市場對於大宗物資及商品的激烈爭奪，而且經濟發展皆需仰賴天然資源，再加上近來氣候極端變化，使得採礦業開始成為網路間諜活動的目標，甚至極端一點，成為破壞性或毀滅性網路攻擊的目標。這類網路間諜活動的目標在於取得最新的科技知識和情報，以便能在全球經濟市場當中維持競爭優勢與地位。

歹徒看上了採礦業在全球供應鏈上的戰略地位，使得該產業開始面臨網路攻擊的威脅。這類威脅不僅具備相當高的針對性，而且經過精密的計畫，其幕後的駭客團體也包羅萬象，從駭客激進團體、敵對國家，到有組織的犯罪集團。這些駭客已學會如何利用礦物天然資源在區域和全球供應鏈以及國家經濟當中所扮演的重要角色，並且知道如何攻擊礦業公司因極度仰賴整合性自動化系統所暴露的漏洞。

針對不同產業的網路攻擊

今日，各種產業遭到網路攻擊的新聞已經司空見慣，就像日常播報的資料外洩新聞一樣。進階持續性滲透攻擊 (APT)原本只是純粹的產業間諜行動 (如 BlackEnergy)，現在卻已演變成可能造成實體破壞的攻擊與毀滅行動。研究人員發現，BlackEnergy 和另一個名為 Sandworm 的 APT 行動似乎是 2015 年 12 月烏克蘭兩座發電廠大斷電幕後的元凶。此外，BlackEnergy 和 KillDisk 亦曾試圖針對一家礦業公司和一家大型鐵路公司發動類似攻擊，同樣也是位於烏克蘭。這顯示 BlackEnergy 已有能力從能源產業跨足到其他產業。

產業、攻擊行動、惡意程式和幕後操縱 (C&C) 伺服器之間的交集。

產業為何會遭到攻擊？

網路攻擊並非單純只是 IT 的問題，而是可能對企業日常營運造成深遠的影響：營運中斷、設備損壞、商譽受損、財物損失、智慧財產權損失、競爭力損失、健康與人身安全風險等等。今日網路犯罪集團覬覦的目標不是只有錢和財務資料而已，他們不論在技術能力和犯罪手法上都有長足的進展，而且越來越曉得竊取敏感資料的價值所在，以及如何利用這些資料來賺錢並操弄商業的運作。例如，某個團體從 100 多家公司竊取到市場敏感的資訊，另一個團體從金融新聞媒體竊取到產品的上市前資訊，然後兩個團體彼此交換竊取到的資訊，這樣就能從股票市場獲利。繼續閱讀