標籤: 魚叉式網路釣魚

假裝成老人確認旅遊行程, 「Re:」假回信真釣魚攻擊旅館業者

趨勢科技 TrendMicro

看看託管式 XDR 團隊如何揭發 RedLine Stealer 針對旅館業的隱匿魚叉式網路釣魚 (Spear Phishing )攻擊行動。

託管式 XDR 揭發使用 RedLine Stealer 攻擊旅館業的魚叉式網路釣魚攻擊行動

最近趨勢科技注意到有一家客戶的電子郵件數量暴增。經過進一步調查之後,我們發現還有另外三家旅館業的客戶也發生類似狀況。根據我們的觀察,這些電子郵件絕大多數的標題都很容易引起受害者注意,例如:「help」(求助)、「requesting for assistance」(請求協助)、「route map」(行程路線圖)、「this is me from booking.com」(我的 booking.com 大頭貼) 以及「booking reservation」(預訂房間)。有些電子郵件標題前面還會有「Re:」字樣來偽裝成回覆郵件,試圖讓受害者以為是收到電子郵件回覆。

此外,其電子郵件的內文也寫得很吸引它所設定的目標 (主要是飯店人員),藉此誘騙收件人點選某個會在系統上植入惡意程式的 Dropbox 連結,同時還附上 Bitly 短網址來指向惡意檔案的 Dropbox 連結。

繼續閱讀

《BEC 詐騙》高階主管請當心!Water Nue網路釣魚正鎖定Office 365帳號,準備海撈一票

趨勢科技 TrendMicro

自2020年3月以來,一連串針對Office 365帳戶發動的魚叉式釣魚攻擊,它的目標是全球超過1,000家企業的高階主管,最近這類的BEC 變臉詐騙活動,則是針對了美國和加拿大的高階人員。

我們將幕後的詐騙份子稱為”Water Nue”,它們會針對財務主管騙取財務詐騙用的帳號密碼。釣魚郵件會將使用者導向偽造的Office 365登入網頁。一旦取得帳密並成功入侵了帳號,就會向下屬發送包含篡改過銀行資訊發票檔案的電子郵件,試圖透過轉帳來騙取金錢。

Water Nue網路釣魚工具很基本,但卻更難被鑑識人員發現


這波攻擊活動背後的攻擊者很有意思,原因有幾個。儘管他們成功地在全球範圍內攻擊高層員工,不過他們的技術能力似乎很有限。他們的網路釣魚工具很基本(沒有後門、木馬程式和其他惡意軟體),不過會利用公共雲服務來進行操作。使用雲端服務讓他們可以託管基礎設施並混淆自己的運作,讓他們的活動更難被鑑識人員發現。這種策略在網路犯罪分子中變得越來越普遍。

趨勢科技一開始是從網路釣魚攻擊所用的大批電子郵件網域注意到此次活動。我們發現大多數收件者都是企業的高階主管,特別是財務部門。我們所遇到的第一波案例中就有一起是非洲銀行高階財務主管寄送PDF檔發票給同事並指定香港的銀行帳號。這封郵件來自攻擊者測試功能時所用釣魚網站的IP地址。

這波攻擊活動仍在進行中,當用過的網域被舉報或列入黑名單,駭客就會切換到新的基礎設施。

800 多個高階主管帳密已經得手


攻擊者使用雲端郵件寄送服務(如SendGrid)來寄送帶有連結的電子郵件,將目標導向假的Office 365網頁。(我們已經聯繫SendGrid並分享了我們的發現。)一旦目標進行登入,帳密就會被一個PHP腳本所記錄。

Figure 1. Water Nue attack scenario
圖1. Water Nue攻擊情境

Figure 2. Sample of recorded credentials
圖2. 被記錄的帳密

儘管這並不是什麼新技術,不過攻擊是成功的,直到本文撰寫時,已經從各公司的高階主管收集了800多個帳密。

偽造公司郵件網域的帳號名稱,主旨與發票有關


從七月寄給高階主管的電子郵件裡,我們發現基礎網域是U10450540[.]ct[.]sendgrid[.]net,,加上名稱*getting-panes[.]sfo2*。

Figure 3. Email header “from” field shows New York and various email accounts indicating “Swiftme@{company domain names}”
圖3. 郵件標頭”From”欄位顯示出”New York”和加上郵件帳號”Swiftme@{公司網域名稱}”

“Swiftme”出現在釣魚郵件標頭,並且加上偽造公司郵件網域的帳號名稱。顯示的郵件標頭”From”和主旨也偽裝成語音信箱服務。”Swiftme”可能是暗示跟電子轉帳或電匯有關,並在取得帳密後揭示了攻擊活動目的。

Figure 4. Email sample
圖4. 電子郵件樣本

要注意的是SendGrid平台原本似乎沒有加上X-Mailer。帶有不同X-Mailer和標頭的電子郵件可能是透過會混淆掃描引擎的工具所加上。底下是我們所看到的一些X-Mailer:

X-Mailer: Mozilla/5.0 (Windows; U; Win98; de-AT; rv X-Mailer: Claws Mail 3.7.6 (GTK+ 2.22.0; x86_64-pc-linux-gnu) X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I) X-Mailer: iPhone Mail (8A293) X-Mailer: Opera7.22/Win32 M2 build 3221 X-Mailer: ZuckMail [version 1.00] X-Mailer: CommuniGate Pro WebUser v5.3.2  
Figure 5. A phishing site imitates Office 365 login
圖5.一個偽裝成Office 365登入網頁的釣魚網站

Water Nue測試/部署機器的原始IP保留在收集帳密用釣魚網站伺服器內的文字檔裡。

Figure 6. Sitemap
圖6. 網站地圖

Figure 7. The landing page index.html has a dummy speech function
圖7. 登入頁面index.html內有無用的語音功能

Figure 8. While the main collection function resides in app.js, command and control (C&C) location is embedded in JavaScript code
圖8. 主要收集功能位在app.js,將命令和控制(C&C)位置內嵌在JavaScript碼中

Figure 9. jQuery method is used to post the target’s credentials to hosting site
圖9. jQuery method被用來將目標帳密送到託管網站

偽裝成主管寄送電匯請求,誘騙收件者將錢匯入犯罪分子的帳號


我們發現一封來自同一IP的BEC詐騙郵件。這封惡意郵件是具備合法郵件標頭的發票請求,這是BEC詐騙裡常見的伎倆。

Figure 10. An email sample with the same originating IP
圖10. 來自相同IP地址的郵件樣本

Figure 11. A sample fake PDF invoice in a BEC email
圖11. BEC詐騙郵件內的假PDF發票

如何抵禦BEC詐騙和其他網路釣魚攻擊?


跟其他網路犯罪技術不同,網路釣魚(Phishing)變臉詐騙攻擊或稱為商務電子郵件入侵 BEC)因為是針對特定收件者而可能很難偵測。攻擊者試圖入侵電子郵件帳號來取得業務運作相關的財務資訊和其他敏感資訊。

以下是一些關於防範電子郵件詐騙的建議:

  • 提供員工教育訓練。通過資訊安全教育訓練來降低公司遭受入侵的風險。從CEO到一般員工都必須了解各類型的詐騙及遇到時的處理方式(與對方進行確認並檢查郵件詳細資訊)。
  • 使用其他管道確認要求。在處理敏感資訊時,員工必須遵循驗證系統來謹慎行事(如多重簽名或其他驗證協定)。
  • 檢查所有郵件。小心包含可疑內容的非常規郵件,如可疑寄件者、網域名稱、寫作風格和緊急要求。

在這裡討論的案例中,攻擊者的郵件本身沒有夾帶典型的惡意軟體。這也導致傳統安全解決方案無法保護帳號和系統來抵禦此類攻擊。使用者也可以在電子郵件閘道來檢查寄件者”sendgrid[.]net”。

趨勢科技可以保護各規模的企業來抵禦網路釣魚和BEC詐騙等惡意郵件攻擊。趨勢科技Hosted Email Security解決方案結合了增強的機器學習功能和專家規則,能夠分析電子郵件標頭和內容來阻止BEC詐騙和其他類型的郵件威脅。對於來源驗證和身份驗證,它使用了寄件者策略框架(SPF)、網域金鑰標識郵件(DKIM)和以網域為基礎的進行郵件驗證、報告和一致性(DMARC)。

趨勢科技Cloud App Security解決方案增強了微軟Office 365和其他雲端服務的安全防護,透過沙箱惡意軟體分析來偵測BEC詐騙和其他進階威脅。它使用寫作風格DNA來偵測BEC詐騙的假冒行為並用電腦視覺來找出會竊取帳密的釣魚網站。它還會透過控制敏感資料使用狀況來保護雲端檔案分享抵禦惡意威脅和資料遺失等風險。

入侵指標(IoC)


惡意份子所管理的C&C網址:

  • https://highstreetmuch[.]xyz/hug/gate[.]php
  • https://takeusall[.]online/benzz/gate[.]PHP

MITER ATT&CK矩陣對應

A screenshot of a cell phone Description automatically generated

@原文出處:Water Nue Phishing Campaign Targets C-Suite’s Office 365 Accounts 作者:Marshall Chen、Loseway Lu、Yorkbing Yap和Fyodor Yarochkin(趨勢科技研究團隊)

網路間諜集團以紐約恐攻事件當誘餌

趨勢科技 TrendMicro

Pawn Storm  攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面 ,資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件,並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

根據報導指出,駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange,簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值,就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格:REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗,或者執行惡意程式碼,不再仰賴巨集功能。雖然這並非什麼新的技巧,但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及 整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯  Necurs 殭屍網路 最近也開始使用這項技巧。

[延伸閱讀:網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外,近期也出現了大量的網路間諜及網路宣傳活動。例如,美國外交關係協會 (Council on Foreign Relations,簡稱 CFR) 今年至目前為止就 遭遇了 26 次不同的攻擊行動。事實上,光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢,其中包括:

  • Keyboy:同樣也是利用 DDE 在系統植入資訊竊取程式。
  • Sowbug:專門攻擊南美和東南亞的外交使節團與外交政策機構。
  • OceanLotus/APT32:曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
  • ChessMaster:曾開發出新的工具和技巧來讓其活動更加隱密。
  • BlackOasis:使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式,專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念:越來越多利用 PowerShell 相關威脅該如何防範?]

對企業機構而言,這些案例都突顯出邊界防禦的重要:從閘道、網路、伺服器到端點裝置,因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施: 繼續閱讀

冒充業務和財務部門的電子郵件,夾帶後門程式攻擊企業

趨勢科技 TrendMicro

一起針對企業的惡意電子郵件攻擊活動利用漏洞攻擊結合Windows元件來植入新後門,讓攻擊者可以接管中毒系統。攻擊者利用各種合法Windows元件來執行惡意腳本; 這也讓偵測和封鎖變得更具困難,尤其是對使用白名單的解決方案來說。

趨勢科技在一個月內已經觀察到至少五波攻擊,每一波都會寄送數份惡意電子郵件給目標。受影響產業為金融機構(包括銀行)和礦業公司。值得注意的是,攻擊者在每波攻擊時都會利用多種手法來寄送電子郵件給每個目標。

這起攻擊的相關惡意動態連結函式庫(DLL)樣本最早在2017年6月6日被上傳到VirusTotal,這跟我們在6月的最後一周和7月27日間看到一連串的電子郵件攻擊的時間點相近。

推測這起攻擊應該仍在進行中,少量散播和社交工程誘餌的特定性顯示出這可能是起魚叉式釣魚攻擊(SPEAR PHISHING)攻擊活動。

 

圖1、惡意電子郵件活動的攻擊鏈

 

圖2、送給一個目標的不同惡意電子郵件(時間順序為自左向右,順時針方向)

繼續閱讀