惡意郵件利用西藏事件作誘餌來進行目標攻擊
就是這些信,讓日印藏被駭
1.印度軍事企業收到1封關於導彈防衛系統
2.西藏運動組織收到有關自焚的新聞
3.日本企業在311地震後收到關於輻射觀測報告。
相關報導:日印藏網諜活動 陸駭客有關聯
趨勢科技最近分析了一連串利用熱門社會政治議題來發送給特定使用者的電子郵件。其中一個跟德國總理對在西藏拉薩的抗議活動所做的發言有關。寄件者欄位顯示這封信來自澳洲西藏委員會(ATC,Australian Tibet Council)裡的重要人物。不過這封電子郵件當然是偽造的,電子郵件地址也是剛剛才建立用來假冒ATC人員。它還包含了一份聲稱跟發言相關的DOC檔案。一旦下載這個被偵測為TROJ_ARTIEF.AE的檔案,它會攻擊微軟Word的一個漏洞(CVE-2010-3333),接著產生被偵測為TSPY_MARADE.AA的檔案。一旦TSPY_MARADE.AA被執行起來,就會收集網路和系統資訊,再將這些偷來的資料上傳到惡意網站。
荷蘭使用者最近被一個受入侵網站當做目標,一個在荷蘭相當受歡迎的新聞網站nu.nl。這個網站被入侵淪陷之後,被修改成會加入一個惡意框架,進而讓訪問者的電腦感染一個SINOWAL的變種。
趨勢科技的研究員Feike Hacquebord指出,考慮到這次攻擊的各種特點,它似乎就是特別設計來感染荷蘭的使用者。除了因為遭入侵網站是他們國家最流行的網站外,插入在網站的腳本正好在荷蘭的午餐時間前被啟動,而這時間通常是荷蘭使用者在辦公室裡用來看看新聞或其他網站的時候。
跟據nu.nl所發表的聲明,他們認為攻擊者攻擊了新聞群組內容管理系統(CMS)的一個漏洞,讓他們插入了2個腳本(g.js和gs.js)到nu.nl的子網域內。
調查結果顯示,這個被趨勢科技偵測為JS_IFRAME.HBA的腳本是高度加密的腳本,一旦執行就會將使用者帶到另一個帶有各種漏洞攻擊碼的腳本。
這個漏洞攻擊包被偵測為JS_BLACOLE.HBA,就是Nuclear漏洞攻擊包。一旦執行之後,它會檢查系統上是否有任何有漏洞的軟體,然後下載適用的漏洞攻擊碼來進行攻擊。
根據對這攻擊包程式碼所做的分析,帶有下列未經修補應用程式版本的電腦可能會被這種威脅感染成功:
作者:趨勢科技資深分析師Rik Ferguson
在BBC總裁 – Mark Thompson的部落格文章,還有BBC新聞首頁上的後續文章裡,該公司控訴伊朗當局騷擾並恐嚇他們在國內的員工,並且利用技術行動來做言論箝制。
文章裡提到,BBC的波斯語廣播訊號被蓋台,而且在同一天裡,阻斷服務還攻擊了該廣播服務的倫敦辦事處,透過自動撥號來癱瘓他們的電話總機。
由BBC所提供的攻擊細節裡,很快的就可以得出結論,就是伊朗需要為這些攻擊負責。透過自動撥號對語音服務做阻斷式攻擊是比較簡單的事情,事實上,這類型的服務在地下黑市裡都有提供,但我還沒有看過有人宣傳可以提供廣播入侵能力或訊號干擾,特別是在伊朗境內。
用電話作分散式阻斷攻擊,就跟比較為人所知的網路分散式阻斷式攻擊一樣,最有效的解決方案是在服務供應商這層。在傳統市話線路POTS的設定下,撥入的電話是可以加以過濾的,比方說利用發號人或是頻率來過濾。但如果是VoIP,訊號和媒介速率都可以在供應商端和本地端利用VoIP防火牆來加以限制。但是,就跟許多網站所有人所面對的問題一樣,DDoS攻擊雖然已經是老舊的技術了,但仍然有效而難以對付。受害者的資源是有限的,攻擊者只要有足夠的能力跟堅持,就可以去癱瘓他們。想解決對電話系統的DDoS攻擊,就跟面對其他類型的DDoS攻擊一樣,需要持續不斷的努力。外部系統需要加以強化,停掉所有不必要的服務,也需要加強認證機制以減少被濫用的機會。當然,防火牆和服務供應商端的安全措施也都很重要。
至於發射訊號做出干擾,將發射機調到跟接收設備相同調頻,只要夠強力跟夠近,就可以蓋掉任何接收信號。衛星干擾在伊朗並不是什麼新鮮事,在其他地方或許也是。
自從第二次世界大戰以來,多數需要將內容發送到「不友好」地區的傳媒機構都已經對訊號干擾很熟悉了,但在這方面,可以解決的方法還是不多。而且每個國家也都被認為有權力控制在自己的領空內所收到的信號,就像英國政府在70年代封鎖海盜電台廣播一樣。
而這個事件也提醒了我們,雖然世界因為各種基礎建設(像是網路)變得更加緊密,更像一個整體。但國家和犯罪集團也會繼續投入大量資源來研究如何攻擊它們的弱點,而且往往都會有顯著的效果。
@原文出處:BBC attacked by Iran?
趨勢科技收到報告通知說有大量淪陷的WordPress網站會導致CRIDEX中毒。為了引誘使用者連到這些惡意網站,網路犯罪份子假冒成知名寄件者(像是美國商業促進局和LinkedIn等等)來發送垃圾郵件(SPAM)。這些垃圾郵件會利用社交工程陷阱( Social Engineering)攻擊來誘使不知情的使用者點擊電子郵件中的連結。
點下這個連結會被導到一連串淪陷的WordPress網站,最終會出現在使用者前的是Blackhole漏洞攻擊包,它會針對CVE-2010-0188和CVE-2010-1885的漏洞攻擊。趨勢科技將之偵測為JS_BLACOLE.IC。
作者:Ivan Macalintal(趨勢科技威脅研究經理)
幾個星期前,我和許多趨勢科技的同事一起參加在舊金山舉行的年度RSA大會。下面是我們所看到和聽到的一些重點。
趨勢科技還有在Moscone中心會場環繞的趨勢汽車。下面這張圖是一輛趨勢汽車載著我們的技術長Raimund Genes和行銷副總裁Susan Orbuch。
雲端安全聯盟會議
一個對我們來說很重要的事件是「雲端安全聯盟(Cloud Security Alliance,CSA)會議2012」,它在最近的舊金山RSA大會裡舉行。本次活動的一項高潮就是趨勢科技執行長陳怡樺獲得第一屆的CSA產業領導獎(CSA Industry Leadership Award)。這證明了我們在幫助企業解決邁向雲端時的安全問題上扮演了重要的角色。同時,它也宣布了CSA會擴大到亞太地區,趨勢科技也將以贊助者的角色來協助成立亞洲總部。
本次會議還包括了幾個重要的談話,我在下面列出一部分:
來自前國家安全局局長 – Mike McConneil的「在雲端保護國家安全」。這是一場非常及時的談話,因為大約在RSA大會前的一個禮拜,美國國會才對2012年網路安全法案進行爭辯。這次談話的重點是,政府現在意識到目標攻擊和APT進階持續性威脅 (Advanced Persistent Threat, APT)對國家和全球經濟所帶來的影響。
創新沙箱技術
RSA大會的另一個亮點是年度創新沙箱獎,有10名決賽選手來競爭這最具創意公司的獎項。Appthority靠著它的Appthority平台出線成為了確定的贏家,企業用戶可以利用它來防護行動裝置上的威脅,包括目標攻擊和資料外洩。
CloudPassage – 旨在確保虛擬伺服器在各種雲端環境或架構下的安全,還有Sumo Logic – 開發了一個雲端服務,可以透過他們的外掛產品來幫助企業自動且有效的在日誌檔中發掘出有安全問題的地方。這些也都引起了我的興趣。
以下是 RSA 2012裡重要的一些主題演講、講座還有小組討論: