鎖定目標攻擊 - 資安趨勢部落格

網路間諜集團以紐約恐攻事件當誘餌

2017 年 11 月 14 日2017 年 11 月 14 日趨勢科技 TrendMicro

Pawn Storm 攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面，資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件，並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

根據報導指出，駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange，簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值，就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格：REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗，或者執行惡意程式碼，不再仰賴巨集功能。雖然這並非什麼新的技巧，但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯 Necurs 殭屍網路最近也開始使用這項技巧。

[延伸閱讀：網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外，近期也出現了大量的網路間諜及網路宣傳活動。例如，美國外交關係協會 (Council on Foreign Relations，簡稱 CFR) 今年至目前為止就遭遇了 26 次不同的攻擊行動。事實上，光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢，其中包括：

Keyboy：同樣也是利用 DDE 在系統植入資訊竊取程式。
Sowbug：專門攻擊南美和東南亞的外交使節團與外交政策機構。
OceanLotus/APT32：曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
ChessMaster：曾開發出新的工具和技巧來讓其活動更加隱密。
BlackOasis：使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式，專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念：越來越多利用 PowerShell 相關威脅該如何防範?]

對企業機構而言，這些案例都突顯出邊界防禦的重要：從閘道、網路、伺服器到端點裝置，因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施：繼續閱讀

解析專攻擊日本的ChessMaster 網路間諜行動

2017 年 08 月 31 日2017 年 09 月 01 日趨勢科技 TrendMicro

蒐集情報、社交工程誘餌、攻擊系統漏洞、在企業網路內部橫向移動，駭客有各式各樣的針對性攻擊工具可以利用。而且這些工具就像西洋棋的棋子一樣，各有不同用途。

就以 ChessMaster (西洋棋大師) 攻擊行動為例，這是一個專門以日本學術機關、科技公司、媒體機構、託管式服務供應商以及政府機關為目標的網路間諜行動。它派出的小兵就是挾帶誘餌文件的魚叉式釣魚攻擊（SPEAR PHISHING）郵件。不過，趨勢科技也發現了一些蛛絲馬跡顯示，ChessMaster 跟 APT 10 有所關連 (後者亦稱為 menuPass、POTASSIUM、Stone Panda、Red Apollo 及 CVNX)。

ChessMaster 網路間諜行動的名稱取自其主要後門程式內部資源區段的名稱「ChChes」，趨勢科技將它命名為「BKDR_CHCHES」。

此攻擊行動獨特之處在於其使用的工具和技巧：

惡意的捷徑 (LNK) 檔案與 PowerShell 工具。該捷徑檔會執行「命令提示字元」程式去下載一個 PowerShell 腳本，此腳本會直接在系統上植入或載入 ChChes，第二種方法也就是所謂無檔案式攻擊。
自我解壓縮檔案 (SFX)。此壓縮檔會解出一個執行檔 (EXE)、一個動態連結程式庫 (DLL) 和一個二進位檔 (.BIN)。解開之後，惡意程式碼會被注入到一個正常的執行程序當中 (透過 DLL 挾持技巧)。ChessMaster 將此技巧進一步發揚光大，利用載入時期動態連結技巧來呼叫惡意 DLL 內的函式。
執行時期包裝程式。在整個間諜行動當中，ChChes 使用了三個檔案包裝程式來將自己加密編碼以躲避偵測。第一個不具備加密功能，但含有各種載入程式碼。第二個具備 XOR 加密技巧 (用以反制模擬分析)。第三個在 XOR 之上又增加了 AES 加密。這些程式的組譯日期彼此重疊，可見 ChChes 的作者不斷地在改進並微調其惡意程式。
第二階段惡意程式。歹徒會在系統上植入更多惡意程式，以便能持續躲藏在系統當中。這些其實都是 ChChes 的變種，其程式進入點皆相同，但加密和幕後操縱 (C&C) 通訊卻不盡相同。
駭客工具。ChessMaster 會利用合法的電子郵件以及駭客專為其攻擊行動而修改而來的瀏覽器密碼復原擷取工具。這些工具能在使用者忘記密碼時救回密碼，因此也可讓駭客用來擷取密碼。有了這項資訊之後，就能從事橫向移動與進一步攻擊。
TinyX。這是 PlugX 的衍生版本，只不過少了增加新功能的能力。TinyX 是經由魚叉式網路釣魚郵件挾帶並散布。
RedLeaves。這是一個第二階段後門程式，其運作方式類似 Trochilus 這個開放原始碼無檔案式遠端遙控木馬程式 (RAT)，後者賦予歹徒在已感染系統上進行橫向移動的能力。RedLeaves 的功能衍生自 PlugX。今年四月，一個名為「himawari (向日葵的日文)」的 RedLeaves 變種現身，在當時具備了躲避 YARA 偵測規則的能力。

ChessMaster 和 APT 10 其實同屬一個網路間諜行動。
APT 10/menuPass 是一個網路間諜集團，其攻擊行動名為「Operation Cloud Hopper」，專門攻擊鎖定目標的中介機構，也就是代管式服務供應商 (MSP)。其最知名的是非常會善用各種專門竊取資訊的後門程式與漏洞攻擊套件，再配合詭計多端的手法，從各種魚叉式網路釣魚郵件到各種攻擊與感染途徑。此外還會使用合法或開放原始碼的遠端遙控工具來竊取資訊。

這聽起來是否有點熟悉？這是因為 ChessMaster 和 APT 10 似乎同屬一個網路間諜行動。下圖進一步詳細說明兩者的攻擊流程：

圖 1：ChessMaster 與 APT 10 的攻擊流程。

我們一開始是發現 ChChes 盯上了某個遭到 APT 10/menuPass 長期攻擊的目標。然而，當我們取得並分析了越來越多 ChChes 的樣本之後卻發現，兩者的攻擊模式幾乎如出一轍：專用的檔案包裝程式、相同的攻擊目標、共用的 C&C 基礎架構。

例如，ChChes 的檔案包裝程式與 menuPass 舊版的 PlugX 很像。此外，從 DNS 記錄也可看出，其某些 C&C 伺服器和網域對應到的 IP 位址根本是同一個，或者位於同一個子網路 (subnet) 之內。所以，他們背後到底是否為同一集團？從種種相似性來看的確如此。而這樣情況以前也發生過，例如 BlackTech 網路間諜行動就是一個例子。繼續閱讀

從南韓數位貨幣交易所遭駭,看企業應自保六原則

2017 年 07 月 13 日2017 年 07 月 11 日趨勢科技 TrendMicro

全球最大數位貨幣交易所之一「Bithumb」在 6 月 29 日發生嚴重的駭客入侵事件。這家位於南韓的交易所是知名的乙太幣 (Ethereum ) 交易平台之一 (該貨幣在南韓相當熱門)。根據當地媒體指出，由於該公司某位員工遭駭，使得駭客竊取了超過 31,000 名客戶的資料，包含手機號碼和電子郵件等資訊。該公司隨即在 6 月 30 日通知客戶有關資料失竊的狀況。

根據媒體報導，駭客的手法是實際接洽 Bithumb 的客戶，經由語音網路釣魚手法來取得其錢包。雖然官方並未公布確切數字，但已有南韓使用者分別在網路論壇上表示自己損失慘重。Bithumb 也發表聲明表示打算補償使用者的部分損失：每人最高 10 萬韓幣。

《延伸閱讀》語音釣魚(Vishing)：這是什麼？如何預防？

目前韓國網際網路安全部 (Korea Internet and Security Agency，KISA) 以及檢警單位的網路犯罪調查小組正在深入調查此案件。

這是近期發生的第二起乙太幣相關駭客事件，先前我們已發文指出，同一星期，專門以經典乙太幣 (Ethereum Classic，簡稱 ETC) 使用者為對象的「經典乙太幣錢包」服務，也因社交工程（social engineering ）詐騙而遭到入侵。

六個網路帳號和數位貨幣帳號安全的最佳實務原則

隨著數位貨幣相關的駭客事件越來越多，使用者應主動看緊自己的網路錢包與任何其他網路帳號。此外，企業亦應小心保管自己的資料，並採取以下員工裝置安全政策：繼續閱讀

主要鎖定台灣,專偷機密技術的 BlackTech 網路間諜集團

2017 年 07 月 07 日2017 年 07 月 03 日趨勢科技 TrendMicro

2014 年趨勢科技目前發現一起專門針對台灣政府和行政單位的 APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 活動。這起特定攻擊活動命名為 PLEAD，據趨勢科技分析發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後很有可能都同屬一個駭客團體 BlackTech 網路間諜集團。

BlackTech 是一個在東南亞地區相當活躍的網路間諜集團，尤其是在台灣，偶爾也在日本和香港地區活動。根據其幕後操縱 (C&C) 伺服器的 mutex 和網域名稱來看，BlackTech 的行動主要是竊取攻擊目標的機密技術。

據趨勢科技對其活動以及不斷變換的手法與技巧所做的分析，我們發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後有所關聯。

我們分析了他們的犯案手法並剖析了他們所用的工具之後發現，PLEAD、Shrouded Crossbow 和 Waterbear 很有可能都同屬一個駭客團體。

PLEAD: 曾經攻擊台灣的政府機關和民間機構

PLEAD 是一個資料竊取行動，尤其專門竊取機密文件。該項行動從 2012 年活躍至今，曾經攻擊台灣的政府機關和民間機構。PLEAD 所使用的工具包括同名的 PLEAD 後門程式以及 DRIGO 資料搜刮外傳工具。PLEAD 會利用魚叉式網路釣魚郵件來夾帶惡意的附件檔案或雲端儲存空間連結，以散布並安裝其木馬程式。歹徒使用了一些雲端儲存空間帳號來提供 PLEAD 木馬程式，並且接收 DRIGO 所搜刮外傳的文件。

PLEAD 的安裝程式經常使用從右至左書寫 (RTLO) 的技巧來讓惡意程式的檔名看起來像文件檔，且大多會搭配一個誘餌文件來轉移使用者的注意力。此外，我們也看過 PLEAD 使用以下漏洞來攻擊：

CVE-2015-5119 (Adobe 已在 2015 年 7 月修補)。
CVE-2012-0158 (Microsoft 已在 2012 年 4 月修補)。
CVE-2014-6352 (Microsoft 已在 2014 年 10 月修補)。
CVE-2017-0199 (Microsoft 已在 2017 年 4 月修補)。

趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出，在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。

趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD，來自於其相關惡意軟體所發出後門指令的字母。

此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡，攻擊者利用RTLO（從右至左覆蓋）技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr 顯示成xxx.rcs.pdf）

在某些 PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術，如同一起針對台灣某部會的案例，聲稱是關於技術顧問會議的參考資料：

一旦.7z 附加檔案被解開，收件者會看到兩個檔案，看來像一個 PowerPoint文件和一個 Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元，可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。

針對台灣政府單位的APT 攻擊：解開的附件檔顯示RTLO 伎倆,副檔名看似PPT,其實是.SCR 螢幕保護程式上

為了進一步讓受害者相信.SCR檔案是PPT文件，這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。

針對台灣政府單位的APT 攻擊.SCR 檔案刻意以假亂真產生一個 PPT檔案作為誘餌

《延伸閱讀》< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)

PLEAD 還曾經短暫使用過一個無檔案式惡意程式版本來攻擊 Flash 的漏洞 (CVE-2015-5119)，也就是當年 Hacking Team 所外流的漏洞。

繼續閱讀

回顧17 年來 Pawn Storm 遍及全球的網路間諜行動

2017 年 05 月 05 日2017 年 05 月 05 日趨勢科技 TrendMicro

趨勢科技的研究人員在最新一份有關 Pawn Storm (別名 APT28、Fancy Bear、Strontium 等等) 的報告當中，清楚披露了該網路間諜團體的活動範圍及規模。但更值得關注的是他們所使用伎倆。根據我們的觀察，其行動最遠可追溯至 17 年前，主要攻擊目標為政府、軍事、媒體以及政治機構，足跡遍布全球。此外，報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳，而且光 2016 年就成長了 400%。

Pawn Storm 的發展史

根據我們的研究，Pawn Storm 行動最遠可追溯至 2004 年，但趨勢科技的第一份相關報告 (同時也是業界發表的第一份有關該團體的報告) 卻是在 2014 年才出爐。不過從那時起，人們就開始知道該團體專門攻擊全球可能危害俄羅斯利益的大小機構。該團體透過情報的蒐集與精密的網路釣魚（Phishing）伎倆，成功襲擊了全球各類目標。

儘管該團體在美國大選期間出盡鋒頭，但其實他們過去三年來成功入侵了非常多機構：

2014 年 6 月 – 成功入侵波蘭政府網站。
2014 年 9 月 – 攻擊美國某大型核燃料經銷商，假冒該廠商的 Outlook Web Access (OWA) 登入網頁成功騙取其員工的帳號密碼。此外，也利用假冒的 OWA 登入網頁攻擊美國及歐洲的國防軍事機構。
2014 年 12 月 – 利用該月稍早入侵的美國某軍事機構聯絡窗口取得的帳號攻擊了美國某大型報社 55 名員工的公司帳號。
2015 年 1 月 – 利用假冒 Gmail 名義的網路釣魚攻擊三位高人氣 YouTube 部落客。這些攻擊都發生在部落客於白宮訪問美國總統歐巴馬四天之後。
2015 年 2 月 – 利用惡意的 iOS 應用程式從事間諜活動。此外也利用假冒的 OWA 網站攻擊北大西洋公約組織 (NATO) 駐烏克蘭聯絡官。
2015 年 4 月 – 攻擊 NATO 會員國及法國 TV5Monde 電視台，造成該電視台多個全球頻道中斷。
2015 年 7 月 – 趨勢科技發現該團體利用一個新的 Java 零時差漏洞發動攻擊。
2015 年 7 月 – 該團體將自己的某個幕後操縱 (C&C) 伺服器導向趨勢科技的 IP 位址。
2015 年 8 月 – 爆發國內間諜行動，目標鎖定一些俄羅斯異議份子、媒體、藝術家、軍事人員，甚至還有美國資深官員。
2015 年 9 月 – 架設假冒荷蘭安全局 (Dutch Safety Board) 的 SFTP (Secure File Transfer Protocol) 檔案傳輸伺服器，並製作假冒的 OWA 伺服器來攻擊荷蘭安全局負責馬航 MH17 空難事件的調查人員。
2015 年 10 月 – 趨勢科技發現歹徒利用 Adobe Flash 零時差漏洞搭配魚叉式網路釣魚郵件攻擊多個國家的外交部。