鎖定航太工業的垃圾郵件攻擊,散播跨平台遠端存取木馬 Adwind

JAVA_ADWIND是一個跨平台 DIY 專用遠端存取木馬程式(RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。該程式的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。

基本上,網路犯罪集團都是機會主義者。那個作業系統開始熱門,他們就會開發出對應的工具和攻擊技巧,藉此網羅更多受害者。這就是惡意程式為何希望能夠跨越各種不同平台。而且,若能再配合某種商業模式來將惡意程式賣給其他犯罪分子的話,效益就更高。

眼前就有一個案例:Adwind/jRAT (趨勢科技命名為:JAVA_ADWIND)。這是一個跨平台遠端存取木馬程式 (RAT),可在任何安裝有 Java 軟體的系統上執行,因此涵蓋了 Windows、Mac OSX、Linux 以及 Android。

最近出現了一個專門散布該惡意程式的垃圾郵件攻擊行動,但這次其主要目標是航太工業,而受害最嚴重的國家是瑞士、烏克蘭、奧地利和美國。

Adwind 幕後集團現正活躍
這起垃圾郵件攻擊正好呼應了趨勢科技對 JAVA_ADWIND 長期監控的研究結果。事實上,此惡意程式的偵測數量從今年初便持續穩定成長:從一月份的 5,286 增加至六月份的 117,649。另一點值得注意的是,JAVA_ADWIND 的偵測數量從五月至六月一下子暴增 107%,顯示犯罪集團正積極地散播該程式。

Adwind/jRAT 的惡意行為包括:竊取使用者憑證、側錄鍵盤輸入內容、拍照或抓取螢幕畫面、錄影或擷取影片,以及將資料外傳。Adwind 之前的版本大多用來攻擊銀行和丹麥企業,甚至會收編受感染的裝置來納入「Botnet傀儡殭屍網路」網路當中。

Adwind 身為一個跨平台 DIY 專用遠端存取木馬程式,它其實還有許多別名:jRAT、Universal Remote Control Multi-Platform (UNRECOM)、AlienSpyFrutas 以及 JSocket。2014 年,趨勢科技曾經發現一個修改過的 Android 版 Adwind/jRAT,增加了數位貨幣採礦功能。而且由於它採用服務的經營方式,因此我們可以看到許多其他網路犯罪集團所開發的客製化版本與專屬功能。


圖 1:JAVA_ADWIND 從 2017 年 1 月至 6 月的偵測量。 繼續閱讀

令 IT 管理者頭痛的可客製化攻擊工具:Lost Door遠端存取木馬

 

趨勢科技最近發現一起網路攻擊使用被稱為Lost Door的遠端存取木馬(RAT),這是個在社群媒體網站就有提供的工具。讓我們對此遠端存取木馬(偵測為BKDR_LODORAT.A)最驚訝的是它會利用路由器的端口轉發(Port Forward)功能。這功能可以讓遠端系統連到內網裡特定的電腦或服務。但當其被作為惡意使用時,就可以被遠端攻擊者用來掩蓋自己在網路內的活動,避免被偵測。因為這個遠端存取木馬很容易客製化,即使是入侵指標(IoC)也可能無法阻止這威脅。像Lost Door這樣容易客製化的遠端存取木馬很難被偵測和防禦,對IT管理者來說是個頭痛的問題。

 

在YouTube和 Facebook等社群網站明目張膽宣傳,而非網路犯罪地下市場

不像其他攻擊工具大多只會出現在網路犯罪地下市場,Lost Door很容易取得。它就在社群媒體網站上進行宣傳,像是YouTube和Facebook。它的開發者「OussamiO」甚至有自己的Facebook網頁提供開發細節。甚至有專門部落格(hxxp://lost-door[.]blogspot[.]com/)來提供遠端存取木馬使用教學影片和說明。任何網路犯罪分子和有心人士都可以購買並使用這遠端存取木馬進行攻擊。

 

圖1、Lost Door遠端存取木馬在Facebook上的廣告
圖1、Lost Door遠端存取木馬在Facebook上的廣告

繼續閱讀