一般我們在分析一項威脅時，都會將其惡意程式當成元凶或主要對象來分析。然而，研究其他相關的元件卻可以看到威脅的全貌，反而能比單獨研究二進位程式碼掌握更多的細節。

唯有將目光放遠，超越惡意檔案，才能看出一群原本不相干的網路釣魚（Phishing）郵件，其實都是同一起肆虐全球銀行和金融機構的攻擊行動。駭客利用其他銀行的電子郵件帳號來發送網路釣魚（Phishing）郵件到他們鎖定的銀行，企圖進入該銀行的電腦，進而加以遠端遙控。我們將這起攻擊行動稱為「Cuckoo Miner」(杜鵑鳥礦工)。因為駭客侵占合法電子郵件信箱的手法，很像杜鵑鳥欺騙別的鳥來養大它們的雛鳥、進而鳩佔鵲巢的方式很像。

除了攻擊行動本身的資料之外，我們也發現這起行動和其他攻擊有所關聯： HawkEye、CARBANAK 以及  GamaPOS。

Cuckoo Miner 攻擊行動的第一步

想像一下以下情境：某家大型金融機構的出納櫃台人員 Bob 收到了一封電子郵件。這封電子郵件乍看之下一切正常，內文只有一行，接著就是另一家銀行的簽名資料，並且附上一個 Microsoft Word 文件附件檔案，叫做「ammendment.doc」。

圖 1：「垃圾」電子郵件。

Bob 開啟了這份 Word 文件，裡面寫道：「Hey….」 Bob 看了一頭霧水，索性關掉 Microsoft Word 文件並刪除這封郵件，接著繼續查看其他郵件。但他卻不曉得，光是開啟這份 Microsoft Word 文件，他就已經讓他的電腦 (以及整個分行) 的門戶洞開。

Bob 的情況並非特殊案例，這其實是一起大型的針對性攻擊/鎖定目標攻擊(Targeted attack )。

趨勢科技主動式雲端截毒服務  Smart Protection Network全球情報威脅網路在今年 8 月 4 日偵測到至少有 17 個國家 (包括印度、瑞士、美國等等) 境內的電子郵件伺服器 (不論在企業內或在雲端) 所屬的銀行和金融機構員工都收到了同樣的電子郵件。這些受害的機構皆位於歐洲、中東、非洲 (EMEA) 以及亞太地區 (APAC)。這些電子郵件只針對一群特定的收件人，而且只在該日發送以避免被察覺。

圖 2：受害伺服器分布地理位置。

使用多重 RAT 遠端存取工具

該行動使用的 Microsoft Word 文件會攻擊 CVE-2015-1770  漏洞，進而在系統內植入另一個檔案，該檔案會另外啟動一個「svchost.exe」執行程序。 但這個「svchost.exe」事實上是一個遠端存取工具 (RAT) 叫做「Utility Warrior」。

圖 3：svchost.exe。

不過，駭客還不光使用 Utility Warrior 這個 RAT 工具，他們在為期數個月的攻擊行動當中接連使用了多個 RAT 工具，最早可追溯至 2015 年 1 月，而且各工具的使用期間大多彼此重疊。

圖 4：不同期間所使用的 RAT 工具。

一旦  RAT 工具成功和幕後操縱伺服器取得聯繫，駭客就能自由操縱受感染的電腦，他們可透過 RAT 工具查看系統上有哪些資源、安裝了哪些程式、過濾端點裝置上的資料，此外，還可以從端點裝置直接下載資訊。

從駭客所使用的 RAT 工具非常廣泛就能看出，惡意程式作者在駭客圈內非常活躍，而駭客們彼此之間的關係也非常密切。此外我們也觀察到，駭客很樂意嘗試新的 RAT 版本，並且很快就能將新版 RAT 工具融入他們的攻擊行動當中。

重複使用的憑證以及與 CARBANAK 的淵源

此攻擊行動絕大多數的 RAT 工具使用的電子憑證都是簽發給一個名為「ELVIK OOO」的機構，而且有多個憑證是不斷重複使用。理論上，憑證中的序號是由憑證簽發機構所核發，而且 每個憑證都有自己的序號。

圖 5：憑證範例。

還有一件值得注意的是，我們也曾見過一個 Anunak (也就是 CARBANAK)  攻擊行動的樣本也是使用這個憑證來簽署。然而更重要的是其中含有「arablab」字樣：

圖 6：Arablab 字樣。

從我們擷取到的封包內容可看到「 ArabLab0  」字樣緊跟著一串16 進位碼：「 e4fd2f290fde5395 」，這其實就是一台殭屍電腦識別碼 (BOT ID)，也就是：「 ArabLab0e4fd2f290fde5395」。

這個「Botnet傀儡殭屍網路」識別碼讓我們想起我們在  2014 年 6 月的一項研究發現。我們發現「arablab」是一位使用 Citadel 和 Zeus 來攻擊銀行的駭客。此外，值得一提的是，「arablab」也會利用 Microsoft Office 文件漏洞  CVE-2010-3333  來攻擊某些特定人士，並且從事奈及利亞 (419) 詐騙。儘管攻擊不同，但目標是一樣的，那就是：盜取錢財。 繼續閱讀