駭客會利用人們對網站伺服器的依賴來發動各種攻擊,例如:執行遠端程式碼、略過存取控管、阻斷服務,甚至利用受害的伺服器在背後偷挖虛擬加密貨幣。
正當企業才要從 Log4Shell 漏洞 (CVE-2021-44228) 的震撼中回神過來,瞄準開放原始碼網站伺服器 (如 Apache HTTP Server) 的攻擊便席捲而來。駭客利用人們對網站伺服器的依賴來發動各種攻擊,例如:執行遠端程式碼 (RCE)、略過存取控管、阻斷服務 (DoS),甚至利用受害的伺服器在背後偷挖虛擬加密貨幣。
面對駭客的惡意活動,企業單靠及時修補系統仍稍嫌不足。邁入 2022 年,採用一套軟體組成元件分析 (SCA) 解決方案來發掘軟體供應鏈上每一層環節的問題,將是一項不可或缺的要素。
趨勢科技分析了政治動機強烈的進階持續性滲透攻擊駭客集團 APT36 (亦稱 Earth Karkaddan) 最近的活動,並探討其所用的 CapraRAT (Android 遠端存取木馬程式) 與該集團最愛的 Windows 惡意程式 Crimson RAT 在設計上的明顯相似之處。
APT36 (亦稱 Earth Karkaddan) 是一個政治動機強烈的「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊) 集團,向來專門攻擊印度的軍事與外交目標。此 APT 集團有時也被稱為「Operation C-Major」、「PROJECTM」、 「Mythic Leopard」及「Transparent Tribe」,他們擅長利用社交工程與網路釣魚誘餌來入侵目標機構,成功之後然後再利用 Crimson RAT 惡意程式來竊取受害機構的資訊。
在 2021 年尾,我們看到該集團開始使用一個 Android 遠端存取木馬程式 (RAT) 叫作「CapraRAT」,其設計與該集團愛用的 Windows 惡意程式 Crimson RAT 明顯相似。兩者在函式名稱、指令與功能上都相當雷同,詳細內容請參閱我們的技術摘要報告「Earth Karkaddan APT」。
這份研究是根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網從 2020 年 1 月至 2021 年 9 月所蒐集到的資料。
Carbanak 和 FIN7 如何發動攻擊?以下分析這兩個以利益為動機並專門鎖定銀行、零售業者與其他企業目標的駭客集團常用的一些技巧。
持續監控網路犯罪集團最新動態是資安研究人員和執法單位防治網路犯罪的工作內容之一。 Carbanak 與 FIN7 是當今以利益為動機的兩大網路犯罪集團。雖然有些研究機構會將這兩大集團歸為同一個,但像 MITRE 將他們分成兩個集團,即使它們都使用 Carbanak 後門程式 來發動攻擊。不過,這些團體不僅使用 Carbanak 後門程式,也使用其他類型的惡意程式,如 PoS 惡意程式 Pillowmint 以及另一個據稱應該是用來取代 Carbanak 的惡意程式 Tirion。
除此之外,MITRE 也點出了這兩大集團的主要攻擊目標:Carbanak 主要攻擊銀行機構,FIN7 則是專門攻擊食品、醫療與零售業。
今年的 MITRE Engenuity ATT&CK Evaluations 測試結果在本週出爐,今年的測試主要模擬 Carbanak 和 FIN7 的攻擊,本文也說明了趨勢科技解決方案如何解決這些威脅。
為了提供有關 Carbanak 和 FIN7 攻擊事件的更多背景資訊,我們整理了過去有關這兩大集團的一些研究報告,而 MITRE 也列舉了這兩大集團的 ATT&CK 手法與技巧 (總共 65 項techniques,涵蓋 11 項tactics)。
根據我們對 過去另一起相關攻擊的研究顯示,駭客習慣利用 魚叉式網路釣魚來入侵系統。一旦駭入系統之後,再透過 Windows 內建的動態資料交換 (DDE) 功能與合法的雲端服務來散播勒索病毒,或建立幕後操縱 (C&C) 通訊。
9 月 16 日美國司法部宣布將起訴五名中國人民 ,他們涉嫌駭入美國境內及海外超過 100 家機構。其攻擊目標遍布各種產業,從電玩遊戲公司、電信業者,到大學與非營利機構。這五名嫌犯據稱與 APT41 駭客集團有所關聯。今年五月,趨勢科技才發現專門以資料庫和郵件伺服器為加密目標的 APT41集團涉及某些針對台灣企業的勒索病毒攻擊, 也使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。截稿前為止,他們仍在逃亡,但已有兩名馬來西亞人民因協助這批駭客而遭到逮捕。
從美國司法部所公布的三份起訴書可看出該集團的惡意活動類型相當廣泛,例如虛擬加密貨幣挖礦( coinmining )與勒索病毒Ransomware (勒索軟體/綁架病毒)攻擊。大部分的活動大多是為了牟利,但也有少部分是間諜活動。
司法部官員表示,該集團在成功入侵之後,會竊取原始程式碼、客戶帳戶資料,以及個人身分識別資訊 (PII)。其他重要犯罪行為還有:修改遊戲內物品數量來詐騙遊戲公司、使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。
駭客所使用的多是公開的漏洞攻擊手法與常見的漏洞,詳細資訊可參考官方報告。此外,也運用精密的駭客手法來駭入並常駐於受害者的電腦網路內。官方報告描述了該集團如何運用「供應鏈攻擊」手法,他們會先駭入軟體供應商,然後再修改他們提供給客戶的程式碼。這樣歹徒就能駭入廠商的客戶,進一步拓展勢力範圍。
這已經不是第一次 APT41 駭客集團受到嚴密的關注,該集團早已活躍好一陣子。今年五月,趨勢科技才發現該集團涉及了某些針對台灣企業的勒索病毒攻擊。這個我們命名為「ColdLock」的新勒索病毒家族,專門以資料庫和郵件伺服器為加密目標,所以破壞力不容小覷。
繼續閱讀或許是因為許多政府機關在受害之後都願意支付贖金,所以勒索病毒犯罪集團 2019 年才會更密集地攻擊政府單位。 另外,去年有超過 700 家醫療機構遭到勒索病毒攻擊
勒索病毒受害者不僅要應付資料被加密的問題,還要面對資料可能外洩的災難。會自動將受害者的檔案複製到該集團伺服器的「Maze」, 刻意從它們竊取到的 32 GB 資料中釋出 2 GB ,以駁斥媒體宣稱他們只不過偷了幾個檔案而已。
REvil 勒索病毒則經由已遭駭的第三方軟體發動總贖金高達 250 萬美元的聯合攻擊行動
美國聯邦調查局 (FBI) 對於是否該支付贖金,仍維持堅定的否定立場。該局的網路犯罪調查部門引述一個案例指出,受害者原本是希望能支付贖金來取得解密金鑰,沒想到收到的金鑰卻反而讓所有的資料被清得一 乾二淨。
2019 年,勒索病毒犯罪集團改懸易轍,開始針對特定的機構進行攻擊,試圖入侵其關鍵資產、系統和服務 來獲取龐大利潤。策略的轉變促使他們採取一些新奇的技巧來讓他們迅速在受害者的網路內流竄,盡可能散布更多惡意程式。過去一年當中一項值得注意的駭客技巧就是入侵一些鮮少遭到攻擊的企業資源,例如:網域控制器 (Domain Controller) 和 Active Directory 目錄服務,目的是為了造成企業更嚴重的營運中斷,進而迫使企業乖乖就範,讓他們予取予求。