趨勢科技最近新發現了一起由資金雄厚的駭客組織所發動的網路間諜攻擊行動，主要鎖定亞洲一些重要產業當中與政府有密切關係的民間企業，包括：民營化政府機構及政府承包商，此外還有消費性電子、電腦、醫療、金融等產業。

該組織從 2010 年起活躍至今，我們根據其某個後門程式中的 mutex 名稱將這起行動命名為「Shrouded Crossbow」(暗弩) 行動。我們的研究指出，該組織財力雄厚，足以買下某個熱門惡意程式工具的原始程式碼，並擁有充足的人力根據這份程式碼開發出自己的改良版本。

BIFROSE、KIVARS 和 XBOW

BIFROSE (亦稱為 Bifrost) 惡意程式過去在地下市場上的售價高達 10,000 美元。我們曾在一起針對政府機構的攻擊和「Here You Have Mail」(您有來信) 垃圾郵件行動當中看過這個惡意程式。儘管 BIFROSE 的網路封包和行為已經廣為業界所知，但該團體仍有辦法在其攻擊行動當中充分運用這個惡意程式。

以下這段程式碼顯示 BIFROSE 回報 (phone home) 給幕後操縱 (C&C) 伺服器的受害者資料。

圖 1：BIFROSE 的回報訊息。

從 2010 年起，這項攻擊行動開始使用另一個後門程式：KIVARS。雖然此程式在載入器和後門工具兩部分的設計與 PLUGX 類似，但從其回報訊息內容看來，似乎與 BIFROSE 的關係更為密切。

圖 2：KIVARS 的回報訊息。

儘管 KIVARS 在功能上沒有 BIFROSE 來得豐富，但對該組織來說仍不失為一個好用的後門工具。事實上，為了因應 64 位元系統的日益普及，KIVARS 在 2013 年更推出了 64 位元的升級版本。

我們認為該組織應該是買下了 BIFROSE 的原始程式碼並加以改良，然後再設計出一套新的安裝流程，以及一個新的程式產生器來產生成對的載入器和後門工具，並且將後門功能加以精簡，結果就成了目前的 KIVARS。這意味著，要不是有人在背後資助這項攻擊行動，就是這個組織本身就擁有足夠的財力和人力可將現有的後門程式加以改良。

有趣的是，KIVARS 某些程式資料庫 (PDB) 檔案的路徑採用的是「BR」＋{年份} 的命名方式，這一點似乎與 KIVARS 的名稱不符。我們認為「BR」兩個字母很可能是代表 Bifrose RAT。

圖 3：KIVARS 某些程式資料庫 (PDB) 檔案的路徑。

除此之外，這項攻擊行動還使用了另一個自行開發的後門程式，叫做「XBOW」。XBOW 的發展最遠可追溯至 2010 年中期，其設計靈感應該是來自 BIFROSE 和 KIVARS。

從下圖的 XBOW 組合語言程式碼當中我們可以找到「Recent」、「Desktop」和「Program」等資料夾名稱，這些同樣也出現在 BIFROSE 和 KIVARS 的回報訊息當中。 繼續閱讀

 

在我們針對性攻擊/鎖定目標攻擊（Targeted attack）系列文章的第一部中，我們討論了什麼是針對性攻擊/鎖定目標攻擊（Targeted attack）(以下簡稱鎖定目標攻擊)，什麼樣的攻擊算是及它跟其他類型的網路攻擊有何不同。在這最新的一篇中，我們將要談論為什麼鎖定目標攻擊不只會影響到被針對的組織，還有其客戶，這類事件會如何讓雙方都蒙受財務損失或嚴重的公關問題。它也可能造成很多人失業，損害國家安全或讓負責人遭受嚴懲。

 

針對性攻擊/鎖定目標攻擊（Targeted attack）如何影響目標？

鎖定目標攻擊所造成的影響會因為目標和攻擊者意圖而有所不同。根據我們所看過的大型攻擊及它們所帶來巨大而無所不包的影響，底下是鎖定目標攻擊最常見對公司帶來影響的清單：

• 業務中斷：企業無法進行日常作業和活動，可能是因為攻擊造成系統當機，或因為人手必須調派去處理攻擊。這在去年的TV5 Monde攻擊中發生過，鎖定目標攻擊造成該電視網路關閉運作，11個頻道完全停播。

• 知識產權受損：公司所擁有的知識產權可能會被竊，就像RSA駭客攻擊事件造成SecurID雙因子認證系統資料被竊。Sony被駭事件導致其尚未發行的電影流出也是類似的例子。

• 客戶資料外洩：企業內的客戶PII（個人識別資料）資料庫可能會被入侵或遭竊，這導致其客戶陷於身份竊盜、敲詐、勒索或其他更糟狀況的危險中。這是鎖定目標攻擊常見的後果之一，可以從大型連鎖零售企業所遭遇到的資料外洩事件（如Target和Home Depot）看到例證，數百萬的客戶PII遭竊。

繼續閱讀