本文介紹一起針對 Alibaba Cloud (阿里雲) OSS bucket的惡意攻擊,此攻擊使用外洩的登入憑證來散布惡意程式並暗中挖礦。
先前我們介紹過駭客如何利用組態設定錯誤、或是利用強度太弱的密碼或惡意程式搜刮到的登入憑證來駭入 Huawei Cloud (華為雲) 等雲端環境並安裝虛擬加密貨幣挖礦惡意程式。
這一次,我們發現了一起駭客攻擊使用 Alibaba Cloud 的物件儲存服務 (OSS) 來散布惡意程式並從事虛擬加密貨幣挖礦。OSS 是一種可讓 Alibaba Cloud 客戶將網站應用程式的圖片和備份資訊等等儲存在雲端的服務。不幸的是,這已經不是第一次我們發現專門攻擊 Alibaba Cloud 的駭客,今年稍早我們也介紹過駭客停用了 Alibaba Cloud 的某些功能以便能暗中挖礦。
繼續閱讀
當Lokibot第一次出現在地下論壇時,標榜的是資訊竊取和鍵盤記錄等能力,但這幾年來它又加入了許多功能。最近的攻擊活動已經看到這病毒家族會利用Windows Installer進行安裝,而且使用了新的派送方式,利用夾帶惡意ISO檔的垃圾郵件。分析新的LokiBot變種後發現它更新了持續性機制且使用 圖像隱碼術 (steganography) 來隱藏其程式碼,讓它在系統內更不容易被發現。
當時我們通知一家使用趨勢科技託管式偵測及回應(MDR)服務的東南亞公司出現潛在威脅時發現此一LokiBot變種(趨勢科技偵測為TrojanSpy.Win32.LOKI.TIOIBOGE) – 一封聲稱來自印度甜點公司的電子郵件附件檔。公司內部署的趨勢科技趨勢科技的Deep Discovery Inspector沙箱發出了警訊加上此封郵件的可疑性質讓我們通知公司可能的惡意威脅,接著趨勢科技研究部門進一步地深入調查和分析。
圖1. 包含LokiBot附件檔的郵件樣本截圖
繼續閱讀
Powload 在資安威脅領域歷久不衰,代表它一直在推陳出新。事實上,巨集惡意程式數量在 2018 上半年之所以突然暴增,就是因為當時 Powload 正透過垃圾郵件大量散布。Powload 是 2018 年北美地區最猖獗的威脅之一,它會利用各種技巧在系統植入惡意程式,例如 Emotet、Bebloh、Ursnif 等資訊竊取程式。趨勢科技偵測到Powload 的數量以及我們 2018 年所分析的相關案例/,都較 2017 年顯著增加。另一方面,Powload 在技巧上不斷演進,也顯示它可能還要持續發揮惡勢力一陣子。儘管它的散布管道依然是經由垃圾郵件,但它卻會運用不同技巧在系統上植入惡意程式,包括:避開文件預覽模式、使用無檔案式技巧以及駭入電子郵件帳號等等。
圖 1:趨勢科技 Smart
Protection Network™ 的偵測數據 (左) 以及我們已分析的非重複 Powload 樣本案例/案件數量。
我們在近期所見到的 Powload 相關案件中發現,其垃圾郵件所使用的附件檔案開始出現明顯變化,包括使用圖像隱碼術 (steganography) 以及鎖定特定國家。圖 2 說明了這樣的變化,例如,我們 2018 年早期分析到的樣本在感染程序方面較為單純直接,而新的手法則是多了一道手續來躲避偵測。
繼續閱讀
網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構,包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF,亦稱為 Muirim 和 Nioupale),主要具備四種功能:執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。
不過,根據趨勢科技最近的監控顯示,歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構,其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography),也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中),因此更不易被察覺。
如同許多網路間諜行動一樣,REDBALDKNIGHT 集團的攻擊雖然斷斷續續,卻持續很久。事實上,REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構,至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定,這一點從其社交工程(social engineering )技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件,日文非常流利,而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。
圖 1:REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。
圖 2:REDBALDKNIGHT 所使用的誘餌文件樣本,歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。
以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌
REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊(SPEAR PHISHING)來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌,以便能夠在背後暗中執行惡意程式,他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。 繼續閱讀
美國醫療機構受Stegoloader木馬影響最為嚴重
根據觀察,大多數Stegoloader木馬(最近活躍在新聞上)的受害者都來自北美的醫療機構。這被稱為TROJ_GATAK的惡意軟體自2012年起就一直活躍著,利用圖像隱碼術(Steganography)來將組件藏在PNG檔內。
縱觀近來的Stegoloader惡意軟體受害者,在過去三個月內所看到的大多數受感染電腦都來自美國(66.82%),其次是智利(9.10%)、馬來西亞(3.32%)、挪威(2.09%)及法國(1.71%)。
在同一期間,受到影響最大的產業是醫療保健、金融和製造業。
圖1、過去三個月內各產業的TROJ_GATAK感染程度
值得注意的是,所有受此惡意軟體影響的醫療機構都來自北美。趨勢科技的研究人員目前正在研究網路犯罪分子如何去利用這狀況來進行有組織的攻擊,雖然還在尋找證據中。
最近有幾起成功的資料外洩事件洩漏了數百萬筆醫療機構的客戶資料,像是Anthem和Premera Blue Cross。雖然才出現在攻擊中,圖像隱碼術(Steganography)可能成為未來網路犯罪分子攻擊醫療機構時外洩醫療紀錄的新技術。
資料隱匿技術,間諜用圖片
在之前關於圖像隱碼術(Steganography)(Steganography)和惡意軟體的文章中,我們指出在圖片檔中嵌入惡意程式碼以躲避偵測的技術會變得更加普及,特別是有著勤奮的惡意軟體團體存在。
TROJ_GATAK的再度出現及其明顯針對某些地區和產業顯示出網路犯罪分子在持續地試驗資料隱匿技術(Steganography)的創意用途以擴散威脅。
當趨勢科技在2014年1月第一次於部落格中提到此惡意軟體時,TROJ_GATAK.FCK變種捆綁著各種應用程式的金鑰產生器,而最終會帶來假防毒軟體。
而這惡意軟體最新的三個樣本最終會帶來TROJ_GATAK.SMJV、TROJ_GATAK.SMN和TROJ_GATAK.SMP(在分析中)。
要注意的是,這變種在過去幾年的行為保持不變。該惡意軟體被相信其為金鑰產生器或註冊機的使用者從網路上下載。一旦下載,它偽裝成跟Skype或Google Talk相關的正常檔案。最終會下載照片,嵌入了其大部分的功能。以下是惡意軟體用來嵌入惡意組件的照片樣本:
圖2、TROJ_GATAK所下載的圖片樣本
這惡意軟體具備防虛擬機器和防模擬功能,讓它可以避免被分析。 繼續閱讀