針對性目標攻擊(Targeted attack )

貌似空白的 excel 工作表,開啟前注意三件事,嚴防內嵌AutoHotkey惡意腳本攻擊

2019 年 04 月 19 日2019 年 05 月 02 日趨勢科技 TrendMicro

趨勢科技發現了一個可能利用合法腳本引擎AutoHotkey加上惡意腳本的針對性目標攻擊(Targeted attack )。此腳本會偽裝成電子郵件內的附件檔（Military Financing.xlsm）。使用者需要啟用巨集功能才能完全開啟檔案，接著會用AutoHotkey載入惡意腳本來避免被偵測。它還可以讓駭客竊取某些資訊，甚至下載TeamViewer來取得對系統的遠端控制能力。目前尚未確認此攻擊的目的。但因為其具備網路間諜能力，除了可能發動針對性目標攻擊(Targeted attack ) 外，也可能散播勒索病毒和挖礦病毒。

該電子郵件附加的Excel檔案標題（Foreign Military Financing (FMF)）以美國國防安全合作局的一項計劃命名, 內含兩個表單,其中一個以“ ”（空格）命名。趨勢科技提醒開啟附件前注意三件事:

下載和開啟附件檔前要先檢查寄件者、標題和本文是否有任何可疑之處。
記得檢查附加檔副檔名，確認是否跟郵件內容一致。
要啟用內容以打開檔案前請檢查可疑徵兆，如要求使用者啟用巨集的內容或顯示為空白的內容。

啟用巨集來開啟xlsm檔案時，就會被植入合法腳本引擎AutoHotkey以及惡意腳本

當使用者啟用巨集來開啟xlsm檔案時，就會被植入合法腳本引擎AutoHotkey以及惡意腳本。AutoHotkey載入惡意腳本後會連到C&C伺服器來下載並執行其他腳本來回應伺服器的命令。根據我們的觀察，它最終會下載並執行TeamViewer來取得對系統的遠端控制能力。但根據從C&C伺服器接收的命令，它可以下載並執行其他腳本。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/figure-1-attack-chain-starting-with-the-arrival-of-the-email-with-the-malicious-attachment-640x480.jpg

圖1. 攻擊鏈從夾帶惡意附件檔的電子郵件開始

企圖魚目混珠的Excel空白檔案

繼續閱讀

RATANKBA入侵攻擊目標經常瀏覽的合法網站,針對企業發動大規模水坑攻擊,台灣也受影響

2017 年 03 月 16 日2017 年 03 月 07 日趨勢科技 TrendMicro

在二月初，有多家金融機構通報出現惡意軟體感染，而且顯然來源是合法網站。這些攻擊以入侵受信任的網站來感染各產業內被鎖定企業的系統, 是大規模攻擊活動的一部分。這種策略通常被稱為「水坑（watering hole）」攻擊。

最近對波蘭銀行進行的連串惡意軟體攻擊，據報會在終端機跟伺服器上出現未知的惡意軟體，還有可疑、加密的程式/可執行檔，更加引人注意的是不尋常的網路活動。中毒系統會連到不尋常的位置，可能是要暗渡陳滄將入侵單位的機密資料送至該處。

趨勢科技發現備受關注的惡意軟體RATANKBA,不僅跟對波蘭銀行的惡意軟體攻擊有關，而且還涉及墨西哥、烏拉圭、英國和智利金融機構所發生的類似事件。它如何感染受害者？有沒有其他惡意軟體參與其中？這攻擊活動是否真的跟俄羅斯網路犯罪集團有關？不過根據我們在惡意軟體內所看到的俄文，我們認為這只是用來混淆攻擊者真面目的偽裝手法。

台灣也受到影響

銀行並不是唯一的目標；也有電信、管理諮詢、資訊技術、保險、航太、教育等企業受害。此外，攻擊活動並非僅局限於北美和歐洲，一些亞太地區，特別是台灣、香港和中國也受到影響。

在此提供進一步的分析和見解，可以補充其他關於此一威脅的研究。

圖1、關於RATANKBA的可能感染流程

繼續閱讀

什麼是魚叉式網路釣魚 (Spear Phishing )？

2016 年 01 月 04 日2022 年 06 月 06 日趨勢科技 TrendMicro

一起鎖定某跨國企業法務部門三名員工的「魚叉式網路釣魚(Spear Phishing)」郵件能逞嗎?

針對性攻擊要能成功，很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法,其中包含「魚叉式網路釣魚(Spear Phishing)」

魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如 Twitter、Facebook 和 LinkedIn)，它們會精心製作出很有說服力的電子郵件內容，並且在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結，就會執行惡意程式或將使用者導向某個網站。接下來，駭客就能建立其祕密通訊網路，然後朝攻擊的下一階段邁進。

》魚叉式網路釣魚 (Spear Phishing )是勒索軟體 Ransomware攻擊企業的主要手法

》醫療保險公司 Anthem Inc. 大規模資料外洩的主因:魚叉式網路釣魚 (Spear Phishing )

》南韓爆發最大駭客攻擊事件因魚叉式網路釣魚 (Spear Phishing )而起

》91％的APT 目標攻擊來自:魚叉式網路釣魚 (Spear Phishing )

檢視「防範魚叉式網路釣魚：保護電子郵件如何能夠防止針對性攻擊」

2015年稍早，醫療保險公司 Anthem Inc. 發出聲明表示自己發生了一起大規模的資料外洩，導致 8,000 萬名客戶受到影響。根據媒體報導，駭客經由一項精密的針對性攻擊/鎖定目標攻擊(Targeted attack ) 取得了進入 Anthem 公司 IT 系統的權限，進而竊取系統上儲存的個人資料。有些人對於企業資料外洩事件或許略知一二，但很少有人知道實際發生的經過以及網路犯罪集團所用的手法。

在所謂的「針對性攻擊/鎖定目標攻擊(Targeted attack ) 」當中，駭客必須擁有相當高的專業技能以及充裕的資源來進行這類長期的計謀。針對性攻擊要能成功，很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法。

駭客會利用各種最新時事、業務相關內容，以及攻擊目標可能有興趣的資訊來從事社交工程（social engineering ）攻擊。此外，後門程式、零時差或軟體漏洞攻擊、水坑式攻擊、魚叉式網路釣魚等等，也是歹徒經常用來竊取資訊的技巧。

雖然一般的網路釣魚（Phishing）和魚叉式網路釣魚所使用的技巧類似，但兩者之間還是有所差別。網路釣魚基本上是一種針對大量目標的亂槍打鳥式攻擊，但魚叉式網路釣魚則是專門針對特定目標。兩者的差異在於，一般的網路釣魚（Phishing）相對單純，歹徒一旦偷到受害人的資料 (如網路銀行登入資訊)，就算達到目的。但對於魚叉式網路釣魚來說，取得登入資訊或個人資訊通常只是攻擊的開端，這是歹徒進入目標網路的手段，只能算是的跳板而已針對性攻擊/鎖定目標攻擊(Targeted attack ) 。

何謂魚叉式網路釣魚攻擊？

前面提到，魚叉式網路釣魚是專門針對特定對象的網路釣魚（Phishing），其對象通常是某個機構，其最終目標是取得機密資訊，其技巧則包括：假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。預算和一般網路釣魚（Phishing）的都會誘騙目標對象開啟郵件中的附件檔案或點選郵件中的連結。繼續閱讀