加密勒索軟體TorrentLocker偽裝水電帳單,法院,快遞,郵局..等通知肆虐英國

趨勢科技注意到最近加密勒索軟體 Ransomware家族TorrentLocker相關電子郵件發送到一些國家的數量增加,特別是英國和土耳其。從5月上旬到6月10日,TorrentLocker相關電子郵件變得相對平靜。然而就在過了差不多兩個多星期(6月10日至6月28日),我們看到這種威脅再次出現。

勒索軟體 Ransom

在2014年底, TorrentLocker勒索軟體 Ransomware義大利傳出疫情。澳洲也曾是這些攻擊的主要目標(雖然其他國家也有受到影響),但最近英國成為最被青睞的對象。TorrentLocker相關電子郵件偽裝成來自公用事業(如英國天然氣)和政府機構(如內政部或司法部)。

這會導致連到這些單位的假網站,要求使用者輸入驗證碼。輸入這驗證碼會下載TorrentLocker到系統上;這看起來是要躲避沙箱技術的自動化測試。這些網站的截圖如下:

圖1、假的英國天然氣公司網站

圖2、假的英國內政部網站

 

其他國家像是義大利、波蘭、西班牙和土耳其也受到這一波加密勒索軟體 Ransomware的攻擊。用在這些國家的電子郵件利用郵政/快遞服務的名稱,還有電信公司(已知的例子包括SDA Express、Pozcta、Correo和Turkcell)。對澳洲使用者的攻擊已經變平靜,使用澳洲聯邦辦公室名義的電子郵件顯著下降。然而其他郵政/快遞服務(如澳洲的Couriers Please和Pack & Send)也遭到利用。

這些檔案所放置的地方也有所改變:之前它們放在檔案儲存網站,像是Sendspace、Mediafire和Copy.com。不過攻擊者已經轉到使用Yandex Disk。Cryptowall(另一個加密勒索軟體家族)現在主要是透過Google Drive下載。

我們在六月看到所下載的檔案名稱(和使用的社交工程(social engineering )誘餌)列在下表中:

繼續閱讀

又來了!! Hacking Team 資料外洩添新的 Adobe Flash 零時差漏洞 (CVE-2015-5123)

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊,總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中,包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密(WikiLeaks)公布了Hacking Team內部超過100萬筆電子郵件,並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在連續兩個 Adobe Flash Player 零時差漏洞因 Hacking Team 資料外洩事件而曝光之後,趨勢科技又發現了另一個 Adobe Flash Player 零時差漏洞 (CVE-2015-5123)。Adobe 在接獲我們通報之後已發布了一項安全公告。此漏洞的分類為重大漏洞,因為駭客一旦攻擊成功,就可能取得系統的掌控權。此漏洞的影響層面涵蓋 Windows、Mac 和 Linux 平台上的所有 Adobe Flash 版本。

Attack 攻擊

問題根源分析

根據趨勢科技的分析,此漏洞一樣是valueOf 技巧所導致的問題。不過有別於前兩個 Flash 零時差漏洞的是,它利用的是 BitmapData 物件,而非 TextLineByteArray

以下是觸發該漏洞的步驟:

  1. 建立一個新的 BitmapData 物件,準備好兩個 Array 物件,產生兩個新的 MyClass 物件,然後將 MyClass 物件分別指派至前面兩個 Array 物件。
  2. 覆寫 MyClass 物件的 valueOf 函式,然後呼叫 paletteMap 並傳入前述兩個 Array 當成參數。BitmapData.paletteMap 將觸發 valueOf 函式。
  3. 在 valueOf 函式中呼叫 dispose() 來釋放 BitmapData 物件的記憶體,導致 Flash Player 當掉。

目前趨勢科技正密切監控是否有任何駭客攻擊運用到這項概念驗證 (POC) 漏洞。一有最新消息或新的發現,我們會立即更新這篇文章。由於 Hacking Team 資料外洩事件已經廣為公開,因此使用者已有遭到攻擊的危險。所以,建議使用者暫時先停用 Adobe Flash Player,直到 Adobe 釋出修補程式為止。 繼續閱讀

Hacking Team 資料外洩事件又一個Adobe Flash Player 漏洞零時差漏洞曝光

Hacking Team 資料外洩事件前一個曝光的零時差漏洞 (CVE-2015-5119) 熱潮還未消退,另一個同樣危險的 Adobe Flash Player 漏洞 (CVE-2015-5122) 就浮上檯面。此漏洞一旦遭到攻擊,可能導致系統當機,並讓駭客取得系統控制權。此外,與CVE-2015-5119 相同的是,所有 Windows、Mac 及 Linux 最新版的 Flash (18.0.0.203) 都含有此漏洞。

alert 病毒警訊

這是一個新的漏洞,並未包含在先前我們未修補的 Flash Player 漏洞以及其他 Hacking Team 資料外洩事件當中發現的概念驗證攻擊 一文所討論的兩個 Flash 漏洞和 Windows 核心漏洞當中。

好消息是:此漏洞目前還在概念驗證階段,所以我們還在觀察是否有任何攻擊已運用該漏洞。壞消息是:該漏洞目前尚無修補程式,不過我們在確認此漏洞的真實性之後便立即通報了 Adobe (台北時間 7 月 11 日上午10:30),因此相信很外就會有修補程式。Adobe也在台北時間當天上午11:40針對此漏洞發布了安全公告

這漏洞到底如何運作?

經過仔細分析,我們發現這是一個利用  TextBlock.createTextLine() 和 TextBlock.recreateTextLine(textLine) 兩個函式來製造使用已釋放物件情況的漏洞。

觸發此漏洞的程式碼為:my_textLine.opaqueBackground = MyClass_object。實際情況是:MyClass.prototype.valueOf 被覆寫,因此使得 valueOf 函式會呼叫 TextBlock.recreateTextLine(my_textLine)。然後 my_textLine 在釋放之後又被用到。

由於我們是在x86環境上利用偵錯 (debugging) 來追蹤這個漏洞,因此觸發漏洞的是 MyClass32 這個類別。漏洞攻擊函式本身則為 MyClass32 的 TryExpl。

以下說明漏洞攻擊的步驟:

  1. 我們有一個新的 Array 物件,名為 _ar,設定 _ar 的長度為 _arLen = 126。使用 Vector.<uint> 來設定 _ar[0…29] 的數值,Vector 長度為 0x62。使用 Vector.<uint> 來設定 _ar[46…125] 的數值,Vector 長度為 0x8。將 _ar[30….45] 的數值設為 textLine,使用 _tb.createTextLine() 來產生 textLine,並將 textLine.opaqueBackground 設為 1。

繼續閱讀

當心勒索軟體利用Hacking Team 外洩的 Adobe Flash漏洞發動攻擊

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊,總量近400GB的公司內部文件,檔案程式等資料被公開。在此次洩露的文件中,包含了Hacking Team的客戶資料、財務文件、合約、內部E-mail郵件,根據報導維基解密(WikiLeaks)公布了Hacking Team內部超過100萬筆電子郵件,並提供了搜尋機制。其中包含了601筆與台灣相關資料。

在過去幾天裡,備收爭議的 Hacking Team 被駭 ! 流出資料中發現 Flash零時差漏洞攻擊程式,此事件導致其資料被公開的事件已經有了許多的討論。而人們最需要知道的事情是此次攻擊讓另一個新的Adobe Flash漏洞被公諸於世(CVE-2015-5119)。

趨勢科技的研究人員已經發現有攻擊者將這新的漏洞加進漏洞攻擊包以做為攻擊的武器。最嚴重的風險是這種攻擊可能會被用來感染第三方廣告伺服器,與我們在2015年第一季所看到的趨勢相符合。

這個漏洞影響所及遍布所有版本的Adobe Flash。Adobe Flash遭到入侵後可能會當掉,駭客也可能取得受害系統的控制權。Adobe已經發布了一則安全公告並建議用戶儘速套用安全性更新。

談到針對此漏洞的攻,趨勢科技根據主動式雲端截毒技術的資料獲知,Angler攻擊套件與Nuclear攻擊套件皆已可攻擊此漏洞;此外,據信Neutrino攻擊套件也具備同樣能力。

最近對台灣造成重大影響的勒索軟體 Ransomware也可能透過此漏洞進行攻擊,並針對重要檔案進行加密。

此外我們也觀察到已經有部分台灣網站遭受駭客入侵,利用此漏洞植入後門程式,趨勢科技用戶只要啟用網頁信譽評等服務,即可攔截這些受駭網站。

趨勢科技強烈建議您儘速安裝原廠所釋出的安全性更新或修補程式。如果您有其他問題或是需要進一步協助,請您聯絡趨勢科技技術支援部。

駭客 hacked

趨勢科技的客戶有三種方法來防護這種威脅

Adobe已經提供一個更新以解決此漏洞,所以任何使用Flash的人都該立刻升級。 繼續閱讀

Hacking Team 的 Flash 零時差漏洞攻擊,已被收錄到漏洞攻擊套件!

以協助執行監控任務,出售間諜程式給各國政府與執法單位而備受爭議的Hacking Team公司,近日遭到攻擊,總量近400GB的公司內部文件與資料被公開。趨勢科技在這些檔案中發現了Hacking Team所開發的攻擊工具,目前發現的3款攻擊程式中,有兩款鎖定Flash Player的安全漏洞,一款鎖定Windows核心漏洞。(詳情)

趨勢科技主動式雲端截毒服務  Smart Protection Network回報的資料中發現,Angler 和 Nuclear 兩個漏洞攻擊套件已經收錄了最近 Hacking Team 資料外洩當中的 Flash 零時差漏洞攻擊。不僅如此,Kafeine 網站也指出,這項零時差攻擊也已收錄到 Neutrino 漏洞攻擊套件當中。

hacker 駭客

此漏洞的存在因為 Hacking Team 的資料外洩而曝光,而 Adobe 也承認了這項漏洞並發布了安全公告。這份安全公告證實此漏洞已列入 CVE 資料庫當中,編號為 CVE-2015-5119。Adobe 安全公告更確認今日「所有」使用中的 Flash Player 版本都存在這項漏洞。Adobe 已經釋出修正程式APSB15-16,強烈建議盡更新。

所有 Flash Player 使用者皆應立即下載最新修正程式,否則將有危險。本月稍早我們即指出 Flash Player 遭漏洞攻擊套件鎖定的頻率越來越高,而這樣的趨勢似乎沒有轉變的跡象。

圖 1:Angler 漏洞攻擊套件的 HTTP GET 標頭

繼續閱讀