通訊或電信技術是現代網際網路的基礎,也造成了網路新區塊如物聯網(IoT)的發展。相對地,我們今日所享受的全球電信網路也受到網際網路發展的極大影響。電信和網際網路間是雙向的關係,連使用者也無法區分清楚。會有這樣的感覺是因為我們的電信商跟網路商往往是同樣那幾家。而這樣的共生關係會在轉向5G時變得更為明顯。在我們與歐洲刑警組織歐洲網路犯罪中心(EC3)共同發表的「2019年網路電信犯罪報告」中,我們探討了這種關係如何被利用來威脅物聯網或進行欺詐性活動。
SIM卡連線
通訊裝置和互聯網裝置常見的共有連結是使用SIM卡。獨立連接網路的物聯網裝置應該會具備跟手機一樣的SIM卡。可能是熟悉的白色SIM卡,或是更小而整合進裝置電路的東西。手機可以收發電話、簡訊或資料。同樣地,具備SIM卡的物聯網裝置也可以收發電話、簡訊或資料。
SIM卡能夠像信用卡或簽帳金融卡一樣被用來啟動計費或有相應費用的連線。但不幸的是,這也是SIM卡會面臨跟信用卡相同的許多詐騙風險的原因。而且使用SIM卡(和電信)進行詐騙很吸引犯罪分子,可能是因為電信業沒有受到洗錢控制的監管。
繼續閱讀勒索病毒可能在2018年呈現下降的趨勢,但它似乎又回來了 – 只是這次的攻擊看起
來更具有針對性。之前就出現了針對一家美國飲料公司的勒索病毒攻擊新聞,會將公司名稱放在勒贖通知裡,而本篇文章會探討攻擊一家美國製造商的BitPaymer勒索病毒(趨勢科技偵測為Ransom.Win32.BITPAYMER.TGACAJ)。這家公司與飲料公司一樣,也似乎成為了被針對的目標,因為受感染系統內的勒贖通知也出現了公司名稱。
根據調查結果讓我們相信攻擊者是用具備管理員權限的帳號來透過PsExec安裝BitPaymer,PsExec是可以在遠端電腦上執行程序的命令列工具。
BitPaymer如何出現在系統內
BitPaymer(跟iEncrypt勒索病毒有關)是透過PsExec在製造商的電腦上執行。根據我們的分析顯示,攻擊者在2019年2月18日晚上9點40分到晚上11點03分之間透過PsExec發送命令來複製和執行BitPaymer變種。
攻擊者至少需要一個具有管理員權限的帳號才能透過PsExec執行命令。這代表在安裝勒索病毒前就已經發生過未被偵測到的入侵事件。
圖1. BitPaymer勒索病毒的攻擊時間軸
趨勢科技Smart Protection Network所提供的資料支持此假設。從1月29日到2月18日間,偵測到多起在數台電腦上執行Empire PowerShell後門程式。分析顯示這是透過遠端執行而不是在目標電腦上植入檔案。在同一時間段內也偵測到Dridex相關檔案(我們找到跟BitPaymer共用的載入器)。請注意,在美國飲料公司案例中,一些研究人員認為起出的Dridex感染事件可能跟最終的勒索病毒感染有關。
檢視所有的可用資訊,我們能夠推斷出公司在1月29日前後就已經出現資安入侵事件。
繼續閱讀
美國聯邦調查局發布聲明指出,變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)在2018年已經造成超過120億美元的損失,這證明了BEC詐騙對企業造成越來越大的威脅。儘管BEC詐騙的攻擊次數與垃圾郵件活動相比起來並不多,但只要成功就可能造成金錢被轉出,往往會導致受害組織的鉅額財務損失。因為這類的詐騙活動的巨大賺錢潛力,網路犯罪分子也在不停地改進技術來找出最有效詐騙企業的方式。最近可以從London Blue (倫敦藍 )的詐騙活動看出攻擊手法的進化,這是個位在奈及利亞的BEC詐騙團體(同時有美國和西歐的合作者)自2011年以來一直活躍著。
根據報導指出,London Blue (倫敦藍 )詐騙集團體自2016年以來一直使用相當初級的BEC詐騙手法,在冒充目標企業內部對象時使用免費或臨時的電子郵件帳號。不過London Blue在2019年開始使用偽裝成執行長的電子郵件,以便讓攻擊更有說服力。
2019年起將行政助理列入名單,並且開始針對亞洲國家
London Blue一直都是用種常見的BEC詐騙手法:寄送郵件來提醒企業要付錢給供應商,並且要求儘早以匯款方式履行上述應收款項。在2019年1月,該集團開始用電子郵件通知企業有一家國際廠商已經接受收購條款,但需要先匯款30%的收購金額。為了確保騙局不被發現,該郵件還會提到收件者在交易最終確認前都不能提及。
自2018年11月以來,該集團顯然收集了一個具有大量潛在目標的資料庫 – 50,000名高階主管的主資料庫再加上全球近7,800家不同公司的約8,500名財務主管。儘管大部分目標是財務長,但該組織也將目標放在組織架構圖上的其他人員,因為財務經理和區域財務長、會計師甚至行政助理也都被列入名單。London Blue這樣的做法也證實了我們的2019年預測,即BEC詐騙會將目標員工從C-level高階主管往下調兩級。
此外,該集團也開始針對起亞洲國家(之前並不活躍的地區),特別是在香港、新加坡和馬來西亞。這些發展顯示London Blue不僅在改進其技術,也擴大了目標和地區的範圍。
四招防禦BEC攻擊
雖然不用復雜的工具或高度的技術,但BEC詐騙攻擊很有效。事實上,London Blue所用的許多技術看起來都很簡單。但仍有許多人會因此而受騙。
幸運的是,有些方法可以保護企業對付BEC詐騙攻擊,通常都是環繞在最終使用者身上。這些包括:
企業還應考慮採用人工智慧(AI)和機器學習(Machine learning,ML)的多層次安全防護技術,如趨勢科技的電子郵件安全產品能夠抵禦BEC詐騙、電子郵件帳號入侵(EAC)、網路釣魚及其他進階威脅。趨勢科技的防BEC詐騙技術結合了資安專家知識及自我學習數學模型,能夠檢視行為因子及郵件意圖來辨識偽造的電子郵件。
此外,趨勢科技的趨勢科技 Cloud App Security™和ScanMail Suite for Microsoft Exchange產品使用了書寫風格DNA技術,使用人工智慧透過過去撰寫的電子郵件來識別使用者的書寫風格並與可疑郵件進行比對,偵測出偽造的電子郵件。此功能非常適合抵禦像London Blue這樣的BEC詐騙活動。當懷疑一封郵件可能冒充他人身份時,會將書寫風格與訓練過的人工智慧模型進行比對,並通知聲稱的寄件者、收件者和IT部門。
@原文出處:London Blue Group Using Evolving BEC Techniques in Attacks
Google Play和微軟最近都從自己的網路商店移除多個可疑的惡意應用程式。Google從Play商店移除總數29個美肌相機應用程式,其中有大多數都會向使用者派送色情內容或將其導到釣魚網站。趨勢科技發現的這些惡意美肌相機應用程式看起來合法,但一旦安裝就很難被移除。
同時微軟商店也移除了八個挖礦劫持應用程式,包括Fast-search Lite、FastTube和Clean Master等。一旦下載安裝,這些應用程式就會在其網域伺服器啟動Google代碼管理工具,接著會啟動挖礦腳本。挖礦劫持是種會利用他人設備非法挖掘虛擬貨幣的惡意活動 – 如果你安裝了這些應用程式,那受害的就是你的裝置了。
繼續閱讀
資安研究員John Page最近披露了一個微軟IE瀏覽器的XXE(XML外部實體)零時差注入漏洞。根據報導,駭客可以利用此漏洞來竊取機密資訊或從受害者電腦取得檔案。Page使用Windows 7/10及Windows Server 2012 R2更新版的最新版IE (11)瀏覽器來測試此漏洞。我們檢視了它的攻擊鏈來了解安全漏洞的運作原理以及該如何解決。
XXE注入攻擊會利用帶有不正常設定XML外部實體參照(CWE-611)的XML解析器來存取未經授權內容。XXE注入還會利用配置不當的文件類型定義(CWE-827) – 被用來定義標記語言(如XML)的文件類型。例如駭客可以用惡意XML檔加上外部實體參照來利用“file://”協定存取本地端檔案,或用“https://”來存取網頁伺服器上的檔案。
繼續閱讀