<更新>根據報導41 歲高中學歷嫌犯因為不爽被罰錢 冒健保局散播電腦病毒,該嫌透過網路自學成為駭客,因不滿被健保局罰錢,冒用健保局名義,寄發內含竊取個資木馬的惡意郵件,至少已經竊取一萬多筆個資。該報導中還指出警另查出,潘嫌替友人組裝電腦,還暗中安裝木馬程式,用來監視友人上網情況
有心人士發動社交工程攻擊,冒用健保局散佈木馬與後門程式 ,意圖竊取個資
有心人士冒用健保局北區業務組名義,散發內含名為「二代健保補充保險費扣繳辦法說明」RAR壓縮檔的郵件。郵件主旨則為收件民眾姓名、公司電話,以及公司名稱。
圖說:趨勢科技獨家取得有心人士冒用健保局名義發出的原始信件,
內容詳細提供各項連絡電話與方式,以取信收件者。
社交工程攻擊(Social Engineer)過程重現
影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現 繼續閱讀
趨勢科技再次呼籲企業應正視客製化資安防禦策略重要性
【2013 年 3 月 27日 台北訊】上周爆發的南韓遭受駭客攻擊事件引起全球注目,也引發企業經營者及IT人員對於企業自身防禦方案是否周全的熱烈討論。全球雲端防毒廠商趨勢科技(TSE:4704)在事前透過客製化防禦策略,成功協助南韓客戶抵擋駭客攻擊,讓趨勢科技的南韓客戶事先發覺並採取回應,因此未發生任何損失。但根據過往經驗,不排除駭客會再發動另一波攻擊,趨勢科技再次呼籲企業應正視客製化防禦策略的重要性,才能確保企業免於成為駭客下波攻擊的犧牲者。透過趨勢科技的趨勢科技Deep Discovery搭配客製化防禦方案,全球六大銀行當中就有三家採用趨勢科技Deep Discovery,更有超過八十多個政府機構也採用這套解決方案免於此類攻擊。
南韓多家大型銀行及三家大型電視公司相繼在當地時間 2013 年 3 月 20 日星期三出現多台電腦失去畫面的情況。有些電腦甚至在畫面上出現骷髏頭的影像以及來自名為「WhoIs」團體的警告訊息。此攻擊是南韓同一時間遭受的多起攻擊之一。根據趨勢科技研究顯示,這是一次惡意程式攻擊的結果,歹徒一開始假冒銀行寄送主旨為「三月份信用卡交易明細」的釣魚郵件,內含會清除系統的主開機磁區 (Master Boot Record,簡稱 MBR)的惡意程式。駭客並且設定該惡意程式在 2013 年 3 月 20 日同步發作。一旦發作,將使銀行電腦系統完全癱瘓,必須逐一重灌才能回復。 繼續閱讀
3 月 20 日當天,南韓三家大型銀行和兩家最大電視台因為遭到目標式攻擊而陷入癱瘓,造成許多南韓人無法從 ATM 提款,電視台人員無法作業。
【2013 年03月21日 台北訊】駭客針對南韓主要銀行、媒體,以及個人電腦發動大規模攻擊,截至目前為止,趨勢科技已經發現多重攻擊。駭客主要針對南韓主要銀行與媒體的補丁更新伺服器(patch management server)佈署惡意程式,造成受攻擊企業內部的電腦全面無法開機,作業被迫停擺;另一攻擊則針對南韓的企業網站,有的網站遭攻擊停擺,有的網站則是使用者造訪該網站都會被導向位於海外的假網站,並被要求提供許多個人資訊;此外,駭客並針對個人用戶發動電子郵件釣魚攻擊,假冒南韓銀行交易記錄名義,誘騙使用者下載內含木馬程式TROJ_KILLMBR.SM的執行檔,使用者電腦開機區遭到覆蓋,導致使用者無法開機。
趨勢科技內部偵測到的針對企業內部的目標攻擊,目前已知受影響的企業主要為銀行以及媒體。這波攻擊以企業補丁更新伺服器(Patch Management Server)為標的,駭客成功入侵受害企業的補丁更新伺服器佈署惡意程式,該惡意程式會隨著企業員工電腦定期下載補丁(Patch) 而散佈至企業內部,造成企業內部電腦全面停擺,無法進行作業。
另一個攻擊則針對企業網站進行攻擊,目前已知南韓知名企業網站遭到入侵,並恐有被植入不明惡意程式之可能。除了企業之外,駭客並針對銀行使用者展開一波社交工程陷阱( Social Engineering)郵件攻擊。駭客透過一封假冒南韓銀行的信件,信件內容表示為使用者的交易記錄,要求使用者打開附件,附件內容其實為一個執行檔,一旦使用者下載執行後,將被下載一個名為TROJ_KILLMBR.SM的惡意程式,電腦開機區的所有資訊將被覆蓋,導致電腦無法開機。 繼續閱讀
作者:Rik Ferguson
圖片來自Flickr上的IndigoValley
經過上週所發生針對「紐約時報」、「華爾街日報」和「華盛頓郵報」的攻擊之後。另一個令人震驚的新受害者出現了 – 「美國能源部」,負責美國核武軍火庫的美國國家核能安全管理局所屬的單位,也成為了被入侵的受害者。
根據美國華盛頓自由燈塔(Free Beacon)的一份報告,官員已經證實有十四台伺服器和廿台工作站在攻擊中被入侵。
在目前這早期階段,還沒有太多攻擊細節被官方所釋出,並沒有辦法去做出什麼結論,但就我們所知道的部分已經令人感到非常擔憂了。華盛頓自由燈塔(Free Beacon)的報告指出:「他們認為這起複雜的滲透攻擊並不只是竊取個人資料。有跡象顯示,攻擊者帶有其他目的,可能包括計劃進一步去存取機密和其他敏感資料。」這說明在這起攻擊中沒有機密資料被存取。已經被證實的是有數百名員工的個人資料被讀取。
APT攻擊/目標攻擊特質:用多次行動組成攻擊活動
如果這次攻擊的意圖和間諜活動有關,這也是目前最有可能的原因,那攻擊者是不大可能因為一次失敗就放棄的。現代攻擊的特質就是會用多次行動組成攻擊活動,而不會是單獨的攻擊。即使沒有機密資料被存取(而這是「仍在調查中」,我懷疑這結論為何可以如此肯定),已經確認被讀取過的資料還是非常的寶貴,可以用來建立未來的目標攻擊,去針對那些能源部和國家核能安全管理局等知名目標的員工。
許多國家都一直投資最先進的技術用作國際間諜目的,而且還會繼續下去,這應該並不奇怪。所以政府和企業也應該為自己的員工和國民公民利用類似的尖端科技去加密敏感資料,以及監控重要網路以即時掌握可疑的行為。攻擊一個如此高風險的組織不會只是次簡單的行動而已。
衡量傳統防毒技術的有效性:能否偵測客製化目標攻擊?
當熱門媒體在提到有關入侵的故事時,都放大了安裝在受害者組織上的防毒解決方案並沒有找出攻擊者所使用的惡意檔案。而這也是問題之一,當組織遇到先進的目標攻擊時,還繼續依賴著單一層面的安全防護,往往是設計用來解決完全不同的問題。 繼續閱讀