< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

Pawn Storm活動激增,鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)行動在新的一年突然爆炸性成長,導入了新的基礎架構,同時也開始鎖定北大西洋公約組織 (NATO) 會員國,甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報,同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

通用 security

 

Pawn Storm 攻擊行動:背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動,其目標相當廣泛,包括:軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客,至少從 2007 年開始即活躍至今,其犯案模式非常固定。我們為所取的名稱,是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法,與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件,文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式;第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式,讓瀏覽者感染前述的惡意程式;最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體,此外,烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月,趨勢科技觀察到 Pawn Storm 又有新的動作,並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式

繼續閱讀

新舊比較:APT 目標針對性攻擊所用的漏洞

最近一起新發現的網路間諜活動被大肆的報導著,由被稱為「Sandworm Team」的團體所發動。這起攻擊的核心是能夠影響所有現行支援中的微軟Windows版本和Windows Server 2008及2012的零時差漏洞

根據趨勢科技的分析,該漏洞讓攻擊者能夠透過微軟Windows和Server上的OLE封裝管理程式漏洞來執行另一個惡意軟體。之前的報告說明該漏洞被用在針對幾個組織和產業的針對性攻擊中。趨勢科技研究人員的分析顯示,這攻擊和資料蒐集與監控系統(SCADA)有關目標有著密切關連。此外,這個漏洞很快就被用在另一起採用新規避技術(將惡意檔案嵌入PPSX檔案)的攻擊。

APT

有時舊,有時新

並不是只有零時差漏洞會被用在針對性攻擊上。在2014年上半年,趨勢科技看到攻擊者仍然重度的使用較舊的漏洞。最好的例子莫過於CVE-2012-0158,這是跟Windows公共控制項有關的漏洞。儘管自2012年初就有了修補程式,但這漏洞已被證明是APT攻擊 /目標攻擊中不可或缺的工具,包括了PLEAD攻擊活動

當然,這並不代表零時差漏洞沒有在2014年造成威脅。一個針對好幾個大使館的APT攻擊 /目標攻擊被發現會利用一個Windows零時差漏洞。這個漏洞在幾天後被修補 –值得注意的是這發生在Windows XP停止支援前,而Windows XP也是受影響的平臺。另一個零時差漏洞也被Taidoor攻擊活動的幕後黑手重度的使用在攻擊中。這個零時差漏洞在三月後期被發現,修補程式在四月的禮拜二更新推出。

各擅勝場

漏洞幾乎都會被廠商加以修補,尤其是被認為是關鍵性的漏洞。但儘管有修補程式存在,也不是所有的使用者和組織都會加以更新或立即更新。原因之一是更新修補程式可能會中斷營運。或者是會經過較長的延遲時間才更新修補程式,因為在企業環境中更新修補程式需要先經過測試。

從這角度上,攻擊者會因為「可靠性」而使用舊漏洞。有些已經充分測試過的漏洞可以在目標網路和組織中發現。並且因為這些漏洞已經存在多年,讓攻擊者更能夠去產生完美的惡意軟體或威脅來利用此漏洞。

在另一方面,新的漏洞可以讓攻擊者取得上風。零時差漏洞可以讓所有人都措手不及,包括了安全廠商。供應商要不斷地去建立必要的安全措施和對應的修補程式,零時差漏洞可以利用「安全空窗期」來攻擊,甚至能夠影響最安全的環境。在這個意義上,零時差漏洞可以被認為更有效也更具危險性。

如果受影響平臺或應用程式已經過時或超過支援期限,那麼零時差漏洞會更加有效。因為沒有修補程式可用,可以進行零時差漏洞攻擊的安全空窗期就會變成無限長。

一個很好的例子是一個 目標攻擊利用了IE瀏覽器漏洞。這個漏洞(CVE-2014-1776)受到大量的關注,因為最初報導指出微軟不會發表Windows XP上的修補程式。不過很快就有修補程式釋出在該平臺上。

繼續閱讀

APT 攻擊: 64位元版本的 MIRAS 被用在針對性攻擊

MIRAS 惡意軟體家族最近和歐洲 IT 公司的攻擊事件出現關聯性。分析顯示 MIRAS或 BKDR64_MIRAS.B(一個64位元的惡意軟體)被用在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的資料竊出階段。MIRAS可以在32位元(BKDR_MIRAS.B)和64位元(BKDR64_MIRAS.B)的Windows作業系統上運作。

APT

分析BKDR64_MIRAS.B

簡單概述MIRAS,其後門功能主要包含檔案/系統方面的操作,這也代表攻擊者知道受害者的身份資訊。

除了後門程式的資訊竊取行為,它看來特別針對連接到遠端桌面工作階段主機(Remote Desktop Session Host)的系統。它使用遠端桌面服務API – WTSEnumerateProcesses而非一般的程序狀態API – EnumProcesses。攻擊者還可以列出正在執行的程序,我們可以從而推測出他們知道目標使用者如何登錄到工作站(即透過遠端桌面工作階段主機伺服器)。

 

圖1、BKDR64_MIRAS.B使用遠端桌面服務API – WTSEnumerateProcesses

 

惡意軟體的檔案和磁碟管理模組在獲取檔案相關資訊方面非常全面。透過指令Enumerate all logical drives(列出所有邏輯磁碟)Get logical drive’s drive type and disk space(取得邏輯磁碟的磁碟類型和磁碟空間),攻擊者能夠知道受害者系統上什麼時候出現重大的改變。

攻擊者也能夠知道他們的目標檔案是否更新。MIRAS的程序管理模組在針對性攻擊的資料竊出階段扮演另一個重要角色。這模組給了攻擊者關於程序建立日期和時間的詳細資訊。這很重要,因為知道建立日期和時間就可以知道此程序已經建立了多久。舉例來說,程序在系統存在的時間長短可以了解此程序的關鍵程度。

後門功能還讓攻擊者可以知道其他程序正在使用的模組全貌。攻擊者也就能夠加以利用,比方說,DLL劫持攻擊或漏洞攻擊要看目標受害者系統上有哪些模組。

遠端Shell模組讓攻擊者可以做出遠端Shell所能做的一切事情,他們會具備當前登入使用者的權限。

我們可以確認惡意軟體的C&C伺服器 – 96[.]39[.]210[.]49位在美國。此C&C伺服器早在 2013年11月就開始使用。

看到更多攻擊針對64位元平台

攻擊者使用相容64位元系統的惡意軟體攻擊案例也回應著我們在2013年下半年針對性攻擊趨勢報告中的有將近10%針對性攻擊相關惡意軟體完全針對64位元平台。隨著64位元平台的普及率上升,我們會繼續研究攻擊者最近用幾個版本的KIVARS來實作64位元相容的惡意軟體。

防禦可能的針對性攻擊

因為這些攻擊通常會被設計成幾乎不留任何痕跡,所以IT管理員能夠知道哪裡可以找到淪陷的可能指標或「異常現象」就非常的重要。異常現象可能是未知的大檔案,通常是資料外洩的跡象而可能需要檢查是否包含從網路內偷來的資料。攻擊者通常會在資料竊出階段將這些檔案儲存在他們的目標系統內。MIRAS出現在系統內的另一個指標是出現了檔案 – %System%/wbem/raswmi.dll

為了對抗像MIRAS威脅所帶來的風險,企業應該要部署趨勢科技的客製化防禦,這是一個可以讓IT管理員快速偵測、分析和回應攻擊與進階威脅的安全解決方案。在它們造成更多傷害前先加以處理。

有關各種針對性攻擊及企業最佳實作的詳細資訊,可以參考我們的針對性攻擊威脅情報資源

 

@原文出處:64-bit Version of MIRAS Used in Targeted Attack作者:Abraham Camba(趨勢科技威脅研究員)

2014 年截至目前為止趨勢科技已發現 14 個重大漏洞

鎖定APT攻擊/目標攻擊經常利用漏洞來暗中感染電腦系統,這類攻擊不一定會利用新發現或零時差的漏洞,例如 Internet Explorer 的 CVE-2013-2551 漏洞就是一個在 2014 年仍受到攻擊的漏洞。

儘管如此,零時差攻擊依然是一項嚴重威脅,因為它們會讓所有人都措手不及,包括資訊安全廠商在內。零時差漏洞正是利用這段防護空窗期,因此即使是勤勞的使用者和系統管理員也不免會暴露於威脅當中。

防護研究

趨勢科技的產品內含一些可解決這類問題的技術,包括瀏覽器漏洞防護、文件漏洞防護以及虛擬修補。這些技術都已整合到我們的消費端及企業級產品當中。

此外,我們也利用這些產品所回報的漏洞與漏洞攻擊訊息來建立一些經驗法則,進而防範已修補的漏洞和零時差漏洞。這樣的作法已展現優良成效。2010 年,一些利用 IE 漏洞來攻擊 Google (CVE-2010-0249) 的惡意程式樣本早在漏洞被揭露之前數星期前就被我們預先攔截。其他類似的案例還有利用 CVE-2013-5990CVE-2013-3346CVE-2014-0496 以及 CVE-2014-1761 等漏洞的攻擊。

發掘漏洞

趨勢科技投入了大量的人力和資源來發掘漏洞以及相關的零時差攻擊,這方面也獲得了不少成果。2014 年我們在各種應用程式當中總共發現了 14 個可能讓駭客從遠端執行程式碼的漏洞。其中十個是 Internet Explorer 漏洞,兩個是 Adobe Flash Player 漏洞,另外  Adobe Reader/Acrobat 和  Java 也各有一個。

2014 年截至目前為止趨勢科技已發現 14 個重大漏洞

圖 1:2014 年發現的漏洞。

我們在 2014 年發現的這 14 個重大漏洞以及受影響的軟體 (皆已通報相關廠商) 分別為:

我們主要是分析從鎖定APT攻擊/目標攻擊受害者所蒐集到的樣本,因為這些樣本更能反應威脅情勢的真實狀況。這些樣本來源廣泛,包括:誘補網路、產品回報、使用者送審的檔案等等。我們相信,這些樣本所使用的都是駭客正在使用或者最可能使用的漏洞。

趨勢科技透過多種方法來發掘潛在的漏洞和漏洞攻擊,包括:經驗法則掃瞄、機器自我學習以及沙盒模擬分析 (Sandboxing)。我們的自動化流程每日可處理數十萬個樣本,其中只有數十個樣本必須再經過手動分析。

如同其他研究人員一樣,我們也會利用靜態分析、輸入資料錯誤測試 (fuzzing)、滲透測試等方法來主動發掘漏洞。我們會在這些漏洞遭駭客利用之前預先通報 Microsoft、Adobe 和 Oracle 等廠商。 繼續閱讀

《資料圖表》員工信箱是 APT 目標攻擊最佳掩護攻擊的進入點

惡意威脅份子會對企業和組織進行間諜和破壞活動。經過足夠的研究後,惡意威脅份子可以製造社交工程陷阱( Social Engineering)誘餌來騙得足夠多的員工點入連結或打開附加檔案。電子郵件是目標攻擊最常使用的進入點

APT Mail Box

•每天的電子郵件流量有超過60%屬於企業用途

•一般企業員工平均每天會寄送41封和接收100封的電子郵件。

•收到的郵件中有16%是垃圾郵件

 

infographic-APT Targeted Attacks via Employee Inboxes0721 電子郵件是apt 目標攻擊最常使用的進入點

 點圖片可放大

攻擊者會假造內容讓它符合時事且更具有說服力

•攻擊者利用常見網頁郵件服務(如Yahoo!、Gmail等等)的帳號和之前所入侵獲得的帳號來寄送電子郵件

•在RSA受到的攻擊中,送給員工的電子郵件中有主旨為:「 Recruitment Plan(聘僱計畫)」

•攻擊者偽造來自特定部門或目標辦公室內高階主管的電子郵件

•攻擊者假造附加檔案名稱來變得更符和時事,更有說服力

•在Nitro攻擊活動中,電子郵件偽裝成來自目標公司的資訊部門

•一封送至印度目標的電子郵件偽稱含有印度彈道導彈防禦計畫的資料

企業需要更大規模的多層次安全解決方案來讓網路管理者可以深入了解並掌控整體網路的全貌,以降低目標攻擊的危險性,不管它會利用什麼設備或是入侵點。

@原文出處:https://www.trendmicro.com/cloud-content/us/images/business/ig_targeted-attacks-via-employee-inboxes-infographic.jpg