標籤: 漏洞攻擊套件

ProMediads惡意廣告與 Sundown-Pirate漏洞攻擊套件聯手,散播勒索病毒和資料竊取病毒

趨勢科技 TrendMicro

趨勢科技發現一個新的漏洞攻擊套件會透過 “ProMediads”的惡意廣告活動散播。我們將這新漏洞攻擊套件稱為“Sundown Pirate”,顧名思義它的確是盜版自其前輩,這名字同時也來自於其控制台。

ProMediads早在2016年就開始活動,會利用Rig和Sundown漏洞攻擊套件來散播惡意軟體。它在今年2月中變得沒那麼活躍,但在6月16日又透過Rig漏洞攻擊套件冒出來。不過,我們注意到ProMediads惡意廣告活動在6月25日不再使用Rig而改選擇了Sundown-Pirate。

值得注意的是,迄今只有ProMediads會使用Sundown-Pirate。這可能代表Sundown-Pirate是專用漏洞攻擊套件,就跟GreenFlash Sundown漏洞攻擊套件也只被用在ShadowGate攻擊活動一樣。

我們的分析和監測顯示,Sundown-Pirate借用了前輩Hunter和Terror漏洞攻擊套件的程式碼。但其JavaScript的混淆模式與Sundown相似。這樣混合的能力讓我們認為它是新的品種。

圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。
圖1:ProMediads的後端控制台出現 “PirateAds – Avalanche Group”的登錄提示。

 

 

圖2:ProMediads惡意廣告範例
圖2:ProMediads惡意廣告範例

 

殭屍網路 /資料竊取病毒和 PoS惡意軟體到勒索病毒

ProMediads惡意廣告利用Sundown-Pirate漏洞攻擊套件,讓受害者電腦感染各種惡意軟體。例如在6月25日,Sundown-Pirate會植入Trojan SmokeLoader(TROJ_SMOKELOAD.A),它會安裝資料竊取殭屍網路感染病毒Zyklon(TSPY_ZYKLON.C)。 繼續閱讀

Locky 勒索病毒變種來襲!鎖定廣告伺服器,台灣遭攻擊排行第一 !

趨勢科技 TrendMicro

在本文發文幾天後, 勒索病毒LOCKY 傳出一波新的散播方式,駭客先盜用Facebook帳號,再以私訊分享偽造的圖片,誘拐被害者下載惡意瀏覽器外掛,再暗中植入Locky > 相關報導 (11/23 更新)

 

提到 Locky ,不得不提到年初的這個案例:Locky 勒索軟體迫使醫院緊急將所有電腦關機,改用紙本作業,四月在台灣有傳出大量散播案例,它利用一封看似發票的信件主旨,加上使用者對 Microsoft Word 檔比較沒有防備的心態,造成不少台灣民眾檔案被綁架。詳情請看:從勒索軟體 Locky 加速散播,看巨集惡意軟體新伎倆

現在它的變種又來了,藉著改良版的漏洞攻擊套件散播,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器,而且台灣是遭攻擊排行榜第一名 !

最新漏洞攻擊套件:「Bizarro Sundown」,散布新型 Locky 勒索病毒,使用 181 個遭到入侵的網站來散布惡意程式

最近出現了一個新的漏洞攻擊套件專門散布新版的  Locky勒索病毒 Ransomware (勒索軟體/綁架病毒),這個新的漏洞攻擊套件稱為「Bizarro Sundown」,其第一個版本出現在 10 月 5 日,隨後在 10 月 19 日又再度出現第二個版本。此威脅的主要受害者分布在台灣和韓國。Bizarro Sundown 和其前身  Sundown  功能上有諸多雷同之處,但卻增加了一些妨礙分析的功能。在 10 月 19 日的攻擊當中,其網址已修改得很像正常的網站廣告網址。這第二個版本被稱為「GreenFlash Sundown」。兩個版本都只出現在一個稱為「 ShadowGate/WordsJS」的攻擊行動當中。

 專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器

ShadowGate 攻擊行動在 2015 年首次現身,專門攻擊本地端安裝的 Revive 和 OpenX 開放原始碼廣告伺服器。這些伺服器一旦遭到入侵,就會成為漏洞攻擊套件散布惡意程式的門戶。此攻擊活動相關的一些網域之前曾經遭到封鎖。但最近,趨勢科技發現該攻擊行動又使用了 181 個遭到入侵的網站來散布惡意程式。今年 9 月, ShadowGate 利用 Neutrino 漏洞攻擊套件來散布 Locky 勒索病毒變種 (被加密的檔案副檔名為「 .zepto」)。10 月 5 日,這項攻擊改用 Bizarro Sundown 漏洞攻擊套件。兩星期後 (也就是 10 月 19 日),Bizarro Sundown 出現修改後的版本 (也就是 GreenFlash Sundown)。

攻擊行動會在周末暫停重新導向的動作,並且暫時移除受害網站上專門用來重導使用者的腳本

Bizarro Sundown 的受害者數量變化頗令人玩味:其受害者數量在周末會下降為零。

Bizarro Sundown 受害者數量的時間分布。
圖 1:Bizarro Sundown 受害者數量的時間分布。

 

趨勢科技觀察到 ShadowGate 攻擊行動會在周末期間暫停重新導向的動作,並且暫時移除受害網站上專門用來重導使用者的腳本,等到上班日才又恢復正常。在分布情況方面,半數以上的受害者都在台灣和韓國。其次是德國、義大利和中國。

Bizarro Sundown 攻擊分布情況 (依國家)。
圖 2:Bizarro Sundown 攻擊分布情況 (依國家)。

繼續閱讀

竊取總計高達 2,500 萬美金的漏洞攻擊套件 Angler 垮台之後,最新加密勒索病毒活動

趨勢科技 TrendMicro

 

今年稍早,趨勢科技曾經撰文指出 Angler 是 2015 年最強勢的漏洞攻擊套件,占該年所有漏洞攻擊套件活動的 59.5%,但如今卻完全銷聲匿跡。

有趣的是,就在 50 名利用該惡意程式來竊取總計高達 2,500 萬美金的網路犯罪分子遭到逮捕之後, Angler 基本上已經完全停止營運。雖然 Angler 似乎已經沉寂,但網路犯罪分子顯然並未受到影響,因為他們正忙著尋找新的漏洞攻擊套件來取代,Angler 之所以成為當時的首選,是因為它收錄新漏洞的速度最快,而且擁有許多躲避防毒軟體偵測的技巧,例如:將惡意內容加密以及無檔案的感染方式。

在 Angler 垮台之後,趨勢科技看到漏洞攻擊套件的整體活動已大幅下降。雖然其他漏洞攻擊套件的活動有所增加,但完全無法和 Angler 相提並論,顯然,之前仰賴 Angler 的網路犯罪活動似乎並未完全移轉到其他漏洞攻擊套件。

圖 1:漏洞攻擊套件活動 (2016 年 6 月 1 日至 15 日)

歹徒之前經常利用 Angler 來散布勒索病毒 Ransomware (勒索病毒/綁架病毒),那麼 Angler 沉寂之後,是否會對勒索病毒造成影響?答案是:「不盡然」。今年三月,我們開始看到歹徒利用  Magnitude 漏洞攻擊套件散布  Cerber 勒索病毒,而去年也有 Rig 漏洞攻擊套件會散布 CryptoWall 和 TeslaCrypt。隨著 Angler 消失在地平線上,我們看到原本透過 Angler 散布的  CryptXXX現在也開始改用 Neutrino,而原本不受看好的 Rig 和 Sundown 漏洞攻擊套件,也開始受到新勒索病毒家族的青睞。

後來居上

Rig 漏洞攻擊套件收錄了一個因 Hacking Team 資料外洩事件而曝光的零時差漏洞以及 Adobe Flash Player 和其他的軟體漏洞,Rig 曾經出現在近期的一波惡意廣告當中,受害者幾乎遍及 40 個國家,但主要目標為日本。

圖 2:Rig 偵測數量分布 (2016 年 6 月 1 日至 16 日)

Sundown 使用的是 Adobe Flash Player 當中一個使用已釋放記憶體的漏洞。Sundown 與 Rig 一樣,主要攻擊日本地區,值得注意的是,並非所有前述攻擊都透過 Sundown 來散布勒索病毒。 繼續閱讀

從雅虎廣告網路遭惡意廣告入侵,談惡意廣告的運作模式與防範之道

趨勢科技 TrendMicro

惡意廣告並非新的產物;它是已經存在了十多年的犯罪手法。早在 2004年,就出現當訪客連到科技網站「The Register」被流氓廣告攻擊的事情,它利用一個 Internet Explorer中的零時差漏洞來植入BOFRA惡意軟體。在過去十年間,許多高知名度的網站因為他們的廣告網路在不知情下成為網路犯罪市場的幫兇。受害者包括紐約時報Google赫芬頓郵報等數不清的例子。

8 月發生了一件聯合網路犯罪攻擊,Yahoo 的廣告網路遭到襲擊,使得每月造訪該網站的 69 億人可能因而陷入危險。歹徒運用的是最新的威脅,例如:惡意廣告(malvertising)和漏洞攻擊套件。

惡意廣告(malvertising)是一些由網路犯罪者製作並刊登在網站上的廣告,只要是瀏覽了刊登這類廣告的網站,使用者就有可能遭殃,因此對整個廣告供應鏈帶來嚴重的影響。此次案例,網路犯罪集團利用了用戶數量龐大的 Microsoft Azure 服務網站來提高其潛在受害者數量。這樣的作法屢見不鮮,歹徒經常利用一些熱門的話題並滲透相關的網站。此外,歹徒也滲透了 Yahoo 這個全球最大的廣告網路之一,因此可能的感染數量相當可觀。而且,惡意廣告的運作模式是,使用者不須點選惡意廣告就可被感染。正因如此,一些不知情的使用者才會光是連上有問題的網頁就遭到感染。

【編按】由於網路犯罪集團越來越常利用惡意線上廣告來攻擊使用者,所以使用者經常會在購物網站、新聞網站、社群媒體以及遊戲網站看到這類廣告。
進一步了解惡意廣告感染使用者裝置方式,建議閱讀惡意廣告Malvertising:當廣告出現攻擊行為

網路犯罪使用漏洞攻擊套件的頻率越來越高,因為這類攻擊套件非常容易取得而且不貴。此次攻擊使用的是 Angler 漏洞攻擊套件來感染已入侵網站的訪客。漏洞攻擊套件的作者們非常積極地在第一時間搶先收錄最新曝光的漏洞。如下圖所示,許多今年才曝光的 Adobe Flash 漏洞都已收錄到 Angler 攻擊套件當中。

尤其,CVE-2015-0313 已在今年稍早一起非常類似的攻擊當中出現過。駭客利用這個漏洞攻擊套件在一些已遭入侵的網站上顯示惡意廣告。 繼續閱讀