變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)持續危害了許多組織。根據美國聯邦調查局的報告,僅在2018一年就讓企業損失了12億美元。而BEC詐騙也正在從傳統企業受害者擴展到了非營利組織與宗教團體,最新的一起案例就跟教會有關。
變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)持續危害了許多組織。根據美國聯邦調查局的報告,僅在2018一年就讓企業損失了12億美元。而BEC詐騙也正在從傳統企業受害者擴展到了非營利組織與宗教團體,最新的一起案例就跟教會有關。
在4月17日,俄亥俄州布倫瑞克的聖安布羅斯天主教會發現自己成為BEC詐騙的受害者。他們接到承包商Marous Brothers工程公司因為修建計畫未付款帳單的聯繫後發現。這些帳單總額為175萬美元 – 與 BEC 詐騙取走的金額相同。
繼續閱讀趨勢科技的偵測及回應託管式服務(managed detection and response,MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk勒索病毒攻擊。
勒索病毒 (勒索軟體/綁架病毒)儘管數量明顯地減少了,但仍持續使用多樣化的新技術持續造成威脅。一個明顯的例子是Ryuk勒索病毒(偵測為 Ransom_RYUK.THHBAAI),它在2018年12月造成美國幾家主流報紙運作中斷而惡名遠播。早先在2018年8月的Checkpoint分析指出,Ryuk專門被用在針對性攻擊,主要目標是受害者的重要資產。在12月攻擊事件前的幾個月,Ryuk攻擊了數間大企業來勒索價值超過60萬美元的比特幣。
趨勢科技的託管式偵測及回應(MDR)及事件回應團隊調查了兩起似乎是獨立事件的Ryuk攻擊。第一起經由以MikroTik路由器作為C&C伺服器的TrickBot營運商散播Ryuk,第二起則是攻擊者入侵管理員帳號來在網路內部散播Ryuk。加上2018年的事件,這些新攻擊可以看出惡意軟體背後黑手在擴大其範圍的強烈意圖。
在第一起案例中,使用TrickBot的攻擊者透過Eternal Blue漏洞及收穫的帳密來進行橫向移動和散播Ryuk。
繼續閱讀勒索病毒可能在2018年呈現下降的趨勢,但它似乎又回來了 – 只是這次的攻擊看起
來更具有針對性。之前就出現了針對一家美國飲料公司的勒索病毒攻擊新聞,會將公司名稱放在勒贖通知裡,而本篇文章會探討攻擊一家美國製造商的BitPaymer勒索病毒(趨勢科技偵測為Ransom.Win32.BITPAYMER.TGACAJ)。這家公司與飲料公司一樣,也似乎成為了被針對的目標,因為受感染系統內的勒贖通知也出現了公司名稱。
根據調查結果讓我們相信攻擊者是用具備管理員權限的帳號來透過PsExec安裝BitPaymer,PsExec是可以在遠端電腦上執行程序的命令列工具。
BitPaymer如何出現在系統內
BitPaymer(跟iEncrypt勒索病毒有關)是透過PsExec在製造商的電腦上執行。根據我們的分析顯示,攻擊者在2019年2月18日晚上9點40分到晚上11點03分之間透過PsExec發送命令來複製和執行BitPaymer變種。
攻擊者至少需要一個具有管理員權限的帳號才能透過PsExec執行命令。這代表在安裝勒索病毒前就已經發生過未被偵測到的入侵事件。
圖1. BitPaymer勒索病毒的攻擊時間軸
趨勢科技Smart Protection Network所提供的資料支持此假設。從1月29日到2月18日間,偵測到多起在數台電腦上執行Empire PowerShell後門程式。分析顯示這是透過遠端執行而不是在目標電腦上植入檔案。在同一時間段內也偵測到Dridex相關檔案(我們找到跟BitPaymer共用的載入器)。請注意,在美國飲料公司案例中,一些研究人員認為起出的Dridex感染事件可能跟最終的勒索病毒感染有關。
檢視所有的可用資訊,我們能夠推斷出公司在1月29日前後就已經出現資安入侵事件。
繼續閱讀趨勢科技發現了一個可能利用合法腳本引擎AutoHotkey加上惡意腳本的針對性目標攻擊(Targeted attack )。此腳本會偽裝成電子郵件內的附件檔(Military Financing.xlsm)。使用者需要啟用巨集功能才能完全開啟檔案,接著會用AutoHotkey載入惡意腳本來避免被偵測。它還可以讓駭客竊取某些資訊,甚至下載TeamViewer來取得對系統的遠端控制能力。目前尚未確認此攻擊的目的。但因為其具備網路間諜能力,除了可能發動 針對性目標攻擊(Targeted attack ) 外,也可能散播勒索病毒和挖礦病毒。
該電子郵件附加的Excel檔案標題(Foreign Military Financing (FMF))以美國國防安全合作局的一項計劃命名, 內含兩個表單,其中一個以“ ”(空格)命名。趨勢科技提醒開啟附件前注意三件事:
當使用者啟用巨集來開啟xlsm檔案時,就會被植入合法腳本引擎AutoHotkey以及惡意腳本。AutoHotkey載入惡意腳本後會連到C&C伺服器來下載並執行其他腳本來回應伺服器的命令。根據我們的觀察,它最終會下載並執行TeamViewer來取得對系統的遠端控制能力。但根據從C&C伺服器接收的命令,它可以下載並執行其他腳本。
圖1. 攻擊鏈從夾帶惡意附件檔的電子郵件開始
趨勢科技和波耐蒙研究所 (Ponemon Institute) 合作,制定出新的網路風險指數 (
Cyber Risk Index- CRI),以協助資訊安全長(CISO)及其 IT 安全團隊,更清楚了解相較於同規模和同產業的其他類似企業,自身目前的網路風險程度。這項 CRI 指數是根據波耐蒙研究所進行的問卷調查,調查對象為美國小型、中型到大型企業中的一千多位 IT 專家,並著眼於兩個面向:各組織保護其資料和系統之能力程度,以及目前針對組織攻擊的各種威脅。我們的計畫是每六個月彙整一次 CRI,以取得趨勢資料,檢查 CRI 是否隨時間改善。
CRI 採用 -10 到 +10 的分數量表,-10 代表風險最高,+10 則代表風險最低。結果顯示整體而言,企業的網路威脅風險升高,分數為 -0.15。我們還根據公司規模細分結果,資料顯示小型企業承受較高風險,分數為 -0.59。
好消息是大型企業公司的表現落在中度風險指數等級。依據產業細分結果時,對於問卷調查回應足夠,得以取得良好統計平均數值的產業,皆顯示出升高的風險等級,而服務業、公部門、零售業、醫療與製藥產業的相關風險最高。
以下根據所有受訪者的調查回應,列出一些值得關注的結果。
網路攻擊很可能發生
接下來的 12 個月中,客戶資料洩漏的可能性: