在本系列的最後一篇,我們將詳細探討 APT33 駭客集團並提供我們專家團隊的一些資安建議。
石油天然氣產業依舊是駭客集團的主要目標,駭客的目的是要造成營運中斷並帶來損害。上一篇 (中篇) 我們討論了各種可能衝擊石油天然氣產業的威脅,包括:勒索病毒(勒索軟體,Ransomware)、DNS 通道和零時差漏洞攻擊(zero-day attack)。接下來,在本系列的最後一篇,我們將探討 APT33 駭客集團這個被視為許多石油產業及相關供應鏈遭到魚叉式網路釣魚 (Spear Phishing )攻擊背後的元凶。最後,我們將提出一些有助於石油天然氣公司強化網路資安架構的建議。
趨勢科技披露了 Earth Berberoka 在各平台上用來攻擊線上博弈網站的工具和技巧。
趨勢科技發現了一個專門瞄準線上博弈網站的「進階持續性滲透攻擊」(APT 攻擊) 集團,我們將這個集團命名為 Earth Berberoka (亦稱 GamblingPuppet),他們使用中國駭客的升級版舊式惡意程式家族,如 PlugX 與 Gh0st RAT,此外也用到一個全新的多重階段惡意程式家族 (我們命名為「PuppetLoader」)。Earth Berberoka 使用了多種平台的惡意程式家族來攻擊 Windows、 Linux 和 macOS 作業系統。
根據趨勢科技的分析, Earth Berberoka 的主要攻擊目標是中國境內的線上博弈網站。但也有證據指出他們曾經攻擊非博弈網站,包括某個教育相關的政府機關、兩家 IT 服務公司,以及一家電子製造商。
從 2020 年 12 月 12 日至 2022 年 4 月 29 日,趨勢科技總共在中國境內記錄到 15 次冒牌 Adobe Flash Player 安裝程式下載,其中有 8 次是從某個網站重導到惡意的 Adobe Flash Player 網站 (5 次從美國的合法新聞網站,3 次從某個不明網站,其中 2 次來自香港,1 次來自馬來西亞),並且在台灣境內偵測到 1 次 PlugX DLL 下載。
繼續閱讀趨勢科技分析了政治動機強烈的進階持續性滲透攻擊駭客集團 APT36 (亦稱 Earth Karkaddan) 最近的活動,並探討其所用的 CapraRAT (Android 遠端存取木馬程式) 與該集團最愛的 Windows 惡意程式 Crimson RAT 在設計上的明顯相似之處。
APT36 (亦稱 Earth Karkaddan) 是一個政治動機強烈的「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊) 集團,向來專門攻擊印度的軍事與外交目標。此 APT 集團有時也被稱為「Operation C-Major」、「PROJECTM」、 「Mythic Leopard」及「Transparent Tribe」,他們擅長利用社交工程與網路釣魚誘餌來入侵目標機構,成功之後然後再利用 Crimson RAT 惡意程式來竊取受害機構的資訊。
在 2021 年尾,我們看到該集團開始使用一個 Android 遠端存取木馬程式 (RAT) 叫作「CapraRAT」,其設計與該集團愛用的 Windows 惡意程式 Crimson RAT 明顯相似。兩者在函式名稱、指令與功能上都相當雷同,詳細內容請參閱我們的技術摘要報告「Earth Karkaddan APT」。
這份研究是根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網從 2020 年 1 月至 2021 年 9 月所蒐集到的資料。
Water Pamola對許多目標網路商店都下了帶有內嵌XSS腳本的訂單。一旦網路商店帶有這種XSS漏洞,當網路商店管理者在管理後台打開訂單時就會載入惡意腳本。
該腳本執行的惡意行為包括頁面擷取、帳密網路釣魚、Web Shell感染和惡意軟體派送。這波活動的目標可能是竊取信用卡資料, 類似入侵數千家網路商店的Magecart盜卡組織惡意活動。
從2019年開始,趨勢科技就一直在追踪被稱為Water Pamola的威脅活動。這活動最初是利用夾帶惡意附件的垃圾郵件來入侵日本、澳洲和歐洲國家的網路商店。
但是從2020年初起,我們注意到Water Pamola活動發生了一些變化。現在的受害者主要出現在日本。根據最新的監測資料,攻擊不再透過垃圾郵件發動。而是當管理者在網路商店管理後台查看客戶訂單時,就會觸發惡意腳本執行。
【2021 年 4 月 21 日,台北訊】 全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 在資安研究機構 MITRE Engenuity 最新的 ATT&CK Evaluations 測試當中取得優異成績。在這項模擬兩大持續性滲透攻擊 (APT) 駭客集團手法的測試當中,趨勢科技 Trend Micro Vision OneTM 平台快速偵測到 96% 的攻擊步驟。
有別於其他產業機構大多測試產品偵測及防範各類惡意程式樣本的作法,MITRE Engenuity 的 ATT&CK Evaluations 測試專門評估資安解決方案是否具備偵測各種已知惡意行為目標式攻擊的能力,這樣的測試方法更貼近真實世界常見的攻擊案例。MITRE Engenuity 今年的模擬測試主要是針對知名駭客團體 Carbanak 和 FIN7 的攻擊手法。
趨勢科技網路資安副總裁 Greg Young 表示:「長久以來,資安產品都在偵測駭客攻擊所使用的工具,但 MITRE Engenuity 的作法卻是要辨識駭客的攻擊模式,儘管他們使用的工具各不相同。趨勢科技能夠在這樣的第三方獨立測試當中取得優異成績 (96% 可視性) 著實讓人欣慰,而我們在這方面的表現也確實相當優異,尤其該項測試是專門模擬全球級兩大駭客集團的攻擊技巧,更是難能可貴。MITRE ATT&CK 測試正如同它所模擬的攻擊技巧一樣非常複雜。所以 ATT&CK 不單只是一項測試,其更大的作用是可以當成資安營運中心 (SOC) 日常的教戰準則。」
今年的測試還模擬了兩起資料外洩攻擊,一起是在飯店,另一起位於銀行,測試模擬一些典型的 APT 攻擊手法,例如:權限提升、登入憑證竊取、橫向移動,以及數據外洩。
Trend Micro Vision One 在測試當中表現優異:
繼續閱讀