明明沒訂貨,卻收到「快遞包裹已發,請您查收」的簡訊,這是怎麼回事?
新北市42歲戴姓男子,和19歲王姓男子,涉嫌利用「釣魚簡訊」,通知民眾「貨品已派發、請查收」,趁機植入木馬程式,竊取某銀行網銀帳密,和信用卡用戶的個資。
去年出現了一波跟黑貓宅急便相似度極高,但網址不一樣的詐騙網站,網站無法訂購與查看商品 。但網址不一樣的詐騙網站,網站無法訂購與查看商品,該網站唯一能連結進去的是「會員登入」以及「包裹查詢」,知道詐騙集團要騙的是什麼了吧!
9 月 16 日美國司法部宣布將起訴五名中國人民 ,他們涉嫌駭入美國境內及海外超過 100 家機構。其攻擊目標遍布各種產業,從電玩遊戲公司、電信業者,到大學與非營利機構。這五名嫌犯據稱與 APT41 駭客集團有所關聯。今年五月,趨勢科技才發現專門以資料庫和郵件伺服器為加密目標的 APT41集團涉及某些針對台灣企業的勒索病毒攻擊, 也使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。截稿前為止,他們仍在逃亡,但已有兩名馬來西亞人民因協助這批駭客而遭到逮捕。
從美國司法部所公布的三份起訴書可看出該集團的惡意活動類型相當廣泛,例如虛擬加密貨幣挖礦( coinmining )與勒索病毒Ransomware (勒索軟體/綁架病毒)攻擊。大部分的活動大多是為了牟利,但也有少部分是間諜活動。
司法部官員表示,該集團在成功入侵之後,會竊取原始程式碼、客戶帳戶資料,以及個人身分識別資訊 (PII)。其他重要犯罪行為還有:修改遊戲內物品數量來詐騙遊戲公司、使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。
駭客所使用的多是公開的漏洞攻擊手法與常見的漏洞,詳細資訊可參考官方報告。此外,也運用精密的駭客手法來駭入並常駐於受害者的電腦網路內。官方報告描述了該集團如何運用「供應鏈攻擊」手法,他們會先駭入軟體供應商,然後再修改他們提供給客戶的程式碼。這樣歹徒就能駭入廠商的客戶,進一步拓展勢力範圍。
這已經不是第一次 APT41 駭客集團受到嚴密的關注,該集團早已活躍好一陣子。今年五月,趨勢科技才發現該集團涉及了某些針對台灣企業的勒索病毒攻擊。這個我們命名為「ColdLock」的新勒索病毒家族,專門以資料庫和郵件伺服器為加密目標,所以破壞力不容小覷。
繼續閱讀本文討論歹徒如何將後門程式暗藏在 Windscribe VPN 安裝檔內,經由後門程式,網路犯罪集團不需經正常過認證程序就能從遠端連上被感染的電腦並加以遙控。
任何熱門的技術最終都可能成為網路犯罪集團散播威脅的誘餌,虛擬私人網路 (VPN) 亦不例外。本文討論歹徒如何將後門程式暗藏在 Windscribe VPN 安裝檔內,經由後門程式,網路犯罪集團不需經過正常認證程序就能從遠端連上被感染的電腦並加以遙控。本文要討論的後門程式,就是趨勢科技偵測到的「Backdoor.MSIL.BLADABINDI.THA」及其相關惡意檔案「Trojan.MSIL.BLADABINDI.THIOABO」。
在此要特別強調,本文所分析的安裝檔是取自一些不肖來源,「並非」取自 Windscribe 官方的下載中心或是 Google 和 Apple 的應用程式商店。值得一提的是,網路犯罪集團過去就經常使用這類技巧來將惡意程式包裝在合法軟體 (如視訊軟體) 安裝檔內來誘騙使用者下載。
虛擬私人網路 (VPN) 軟體可讓使用者在連上網際網路時將連線加密以確保資料安全,防止資料遭到偷窺。VPN 一直都是非常實用的軟體,不過最近因為許多公司都實施了在家上班的政策,員工不得已必須離開較安全的辦公室網路,改用家用網路,因此 VPN 大受歡迎。
一開始,使用者很可能在不知情的狀況下從一些不肖來源下載到這個原本應該是合法軟體的惡意安裝檔。此安裝檔會在使用者電腦上植入三個元件:原本 VPN 軟體的安裝檔、後門程式 (檔名「lscm.exe」) 以及用來執行惡意程式的腳本 (win.vbs)。
詐騙集團跟著百貨公司週年慶一起開跑了,「阿迪達斯週年慶典」「阿迪達斯為每個人免費提供 3100雙鞋子,T恤和口罩」這個在 FB 和 LINE 流傳的詐騙訊息,跟之前流傳過一陣子的「免費貼圖詐騙」手法很像,都會「要求受害者分享」,目前趨勢科技總共偵測到 330個愛迪達相關的詐騙網址,逾2.5萬個 LINE 群組分享相關詐騙網址。台灣阿迪達斯股份有限公司(adidas)表示,網傳訊息並非官方訊息。趨勢科技切勿隨意點選不明連結且輸入個人資料,更不要下載不明應用程式。
以下是詐騙訊息:
趨勢科技 Managed XDR 託管式偵測及回應服務團隊最近處理了一樁客戶資安事件,歹徒在該事件中運用了一種特殊的攻擊技巧,增加了資安團隊和研究人員釐清駭客攻擊程序的難度。
採用 端點偵測及回應 (EDR) 資安解決方案的一項主要好處就是,能讓維護及分析企業網路防禦狀況的資安團隊能掌握自身環境的可視性來提早偵測攻擊,並透過視覺化方式了解正在發生的資安事件。雖然像這樣的技術確實讓網路資安產業整體都有所提升,但歹徒的工具和技巧卻也同樣因應這樣的發展趨勢而演進。
趨勢科技 Managed XDR託管式偵測及回應服務團隊最近處理了一樁客戶資安事件,歹徒在該事件中運用了一種特殊的攻擊技巧,增加了資安團隊和研究人員釐清駭客攻擊程序的難度。
2020 年 7 月,我們經由 趨勢科技Apex One在客戶環境觀察到以下可疑的系統事件:
Process: c:\windows\system32\reg.exe CommandLine:REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v <value> /t REG_SZ /d “\”c:\Windows\system32\<random name>\”” /f
此事件有幾點值得注意:首先,該指令所建立的系統登錄數值的名稱是根據某個資安廠商來命名。其次,登錄數值的名稱 (在 <value> 部分) 出現了一個拼字錯誤 (也許是故意的,此處為了保密暫不顯示)。最後,在系統目錄當中有一個隨機命名的執行檔。這所有因素加在一起,讓我們直覺認為這是一項警訊。
結果這個執行檔確實是一個鍵盤側錄程式,它會將側錄到的滑鼠與鍵盤輸入傳送到某個 Gmail 帳號。我們在二進位檔案中發現了一些寫死的資訊,證明它是專為某個目標機構而量身訂製。不僅如此,我們也從二進位檔案中得知,駭客對該機構有相當程度的了解。
我們用這個鍵盤側錄程式的檔名和雜湊碼在系統記錄和事件當中搜尋之後發現以下情況:
繼續閱讀