最近發現一波針對香港iOS用戶的水坑攻擊。這波攻擊在多家論壇貼上聲稱連至各類新聞報導的連結。雖然這些連結的確會將使用者帶到真正的新聞網站,卻也用了隱藏iframe來載入和執行惡意程式碼。這惡意程式碼會攻擊iOS 12.1和12.2的漏洞。一旦使用帶有漏洞的裝置點入這些連結會下載新的iOS惡意軟體,我們將其稱之為 lightSpy(偵測為IOS_LightSpy.A)。
這隻惡意軟體是個模組化的後門程式,可以讓駭客遠端執行shell命令並操弄中毒裝置上的檔案。讓攻擊者能夠監視使用者裝置並取得完全控制的能力。它帶有各種模組來從中毒裝置取得資料,包括了:
使用者的網路環境資訊也會從目標裝置流出:
趨勢科技發現一波網路釣魚活動利用注入假登入表單來竊取使用者帳密,至少有四家韓國網站受害,包括了該國訪問量最大的商務網站。雖然我們之前就看過網路犯罪分子對網站注入惡意JavaScript來載入瀏覽器漏洞攻擊碼或金融資料擷取病毒,但利用水坑攻擊進行網路釣魚並不常見。這波我們標示為「Soula」的攻擊活動(偵測為Trojan.HTML.PHISH.TIAOOHDW)會跳出偽造韓國常用搜尋引擎登入畫面來蓋過原始網頁以收集資料。它會不經確認就直接將記錄的帳密送到攻擊者的伺服器,所以我們認為駭客還在研究與收集資訊的階段。
攻擊行為
圖1、 Soula的攻擊鏈。
我們在3月14日追蹤了受害網站的JavaScript注入。注入腳本針對網站訪問者來在主要網頁載入了網路釣魚表單。它會掃描HTTP referer標頭字串來檢查是否包含跟熱門搜尋引擎或社群媒體網站相關的關鍵字,以驗證訪問者是否是真人。因為HTTP referer會將來源位置網頁標識為請求頁面,這樣就能夠輕易地確認訪問者是否為真實使用者(如果請求來自搜尋引擎或社群媒體),過濾掉bot爬蟲及威脅引擎掃描程式。
該腳本接著會掃描HTTP User-Agent標頭來找出是否有iPhone、iPad、iPod、iOS和Android等字串,以確認使用者是用桌機或行動裝置,好提供對應的網路釣魚表單。行動用戶要點擊被駭網站上的任一按鈕才會看到假登入表單。為了掩蓋惡意行為,它會設置cookie來計算訪問次數,並在受害者第六次訪問網站後才會出現彈跳式視窗。這cookie也會在最後一次互動後兩小時過期。
繼續閱讀最近趨勢科技遇到了一個在各方面都令我們訝異的未知惡意程式。首先,我們發現它是經由水坑式攻擊來散布,要使用這項散步技巧,歹徒必須先駭入某個網站,然後在網頁中插入程式碼來將訪客重導到用來感染電腦的網頁。在此案例當中,每位訪客只會被重導一次,而感染時會攻擊 CVE-2018-8174 這個 VBScript 引擎的漏洞。不過,此漏洞早在 2018 年 5 月 Microsoft 即已修正。
其次,惡意程式採用的是多重階段感染技巧。在攻擊前述漏洞之後,惡意程式會下載一個 DLL 動態連結程式庫檔案,並使用 PowerShell (PS) 來執行此檔案。該檔案其實也是一個檔案下載程式,它會下載並執行另一個後門程式的執行檔。此外,第一階段下載程式會檢查使用者的電腦上是否有某些防毒軟體正在執行,如果有的話就將防毒軟體的執行程序終止。在我們發現此惡意程式的當下,各家防毒軟體似乎都還不認得這個惡意程式。
除了先前提到的狀況之外,我們也很快注意到此惡意程式會連線至 Slack 這個協同作業訊息平台,在這平台上,使用者可利用頻道來建立自己的工作空間 (Workspace),有點類似 IRC 聊天系統。這一點很有意思,因為我們至今尚未見過有哪個惡意程式利用 Slack 來進行通訊。
根據趨勢科技對駭客攻擊工具、技巧及程序的技術性分析,我們認為這項威脅應該與一起隱匿的針對性攻擊有關,並且由具備相當技巧的駭客所發動,而非一般的網路犯罪攻擊。
繼續閱讀在二月初,有多家金融機構通報出現惡意軟體感染,而且顯然來源是合法網站。這些攻擊以入侵受信任的網站來感染各產業內被鎖定企業的系統, 是大規模攻擊活動的一部分。這種策略通常被稱為「水坑(watering hole)」攻擊。
最近對波蘭銀行進行的連串惡意軟體攻擊,據報會在終端機跟伺服器上出現未知的惡意軟體,還有可疑、加密的程式/可執行檔,更加引人注意的是不尋常的網路活動。中毒系統會連到不尋常的位置,可能是要暗渡陳滄將入侵單位的機密資料送至該處。
趨勢科技發現備受關注的惡意軟體RATANKBA,不僅跟對波蘭銀行的惡意軟體攻擊有關,而且還涉及墨西哥、烏拉圭、英國和智利金融機構所發生的類似事件。它如何感染受害者?有沒有其他惡意軟體參與其中?這攻擊活動是否真的跟俄羅斯網路犯罪集團有關?不過根據我們在惡意軟體內所看到的俄文,我們認為這只是用來混淆攻擊者真面目的偽裝手法。
台灣也受到影響
銀行並不是唯一的目標;也有電信、管理諮詢、資訊技術、保險、航太、教育等企業受害。此外,攻擊活動並非僅局限於北美和歐洲,一些亞太地區,特別是台灣、香港和中國也受到影響。
在此提供進一步的分析和見解,可以補充其他關於此一威脅的研究。
圖1、關於RATANKBA的可能感染流程
鱷魚的眼淚:看看反轉網路攻擊局面
在非洲,鱷魚被認為是最可怕的肉食性動物。這原始的野獸因為其實力和狩獵戰術而成為一流的獵人。其中一個戰術是在草原的水坑旁埋伏著。使用這種戰術是因為牛羚和瞪羚會聚集在水坑。這種戰術現在也被網路犯罪份子應用在網路空間。
「水坑(Watering hole)」在美國快速地發展著。水坑攻擊就是當某個企業網站伺服器被入侵,出現某個網頁被用來針對訪客提供特製的惡意軟體。這種攻擊對於將自己公司網頁設成首頁的員工來說特別有效,威脅也延伸到客戶和合作夥伴。另一種水坑攻擊是污染了網站內的廣告。這類型的攻擊被稱為惡意廣告。
根據Cisco Threat Research Media的報告,網路所帶來的惡意軟體是一般企業網路的四倍,這可能是因為惡意廣告的增加。網路出版品會吸引來帶有惡意軟體的線上廣告,並將它派送給讀者。傳媒產業依賴著廣告的收入,但廣告很少會審查有問題的程式碼。
趨勢科技最近的第二季威脅綜合報告 – 「反轉網路攻擊局面:應對不斷變化的戰術」指出全世界受感染的網址有25%源自美國。
你的網站已經成為你品牌的延伸;也是業務營運的延伸,所以保護它和防止它毒害你的員工和消費者是勢在必行。為了防止你的網站成為水坑,應該要採取以下步驟: