勒索病毒侵台居亞洲第二,僅次日本

APT 攻擊猖獗,資安組織戰考驗企業資安戰力 掌握資安主控權,以「人」為核心,三大重點建立強大資安防禦

【台北訊】全球資安領導品牌趨勢科技,今日(25)舉辦資安界年度盛會-CLOUDSEC 2016雲端企業資安高峰論壇,面對全球資安危機,趨勢科技台灣暨香港區總經理洪偉淦現身分享台灣資安環境現況及未來趨勢,首度來台的趨勢科技網路安全策略總裁Eduardo E. Cabrera強調以「人」為企業內部資安防護核心之重要性,及資安防禦三大重點:建立資安防護策略與規範、資安事件偵測與即時監控機制建立、成立事件應變小組並打造事件處理SOP。會中同步邀請到全球頂尖資安顧問美國聯邦調查局(FBI)督導特別探員(SSA) Timothy Wallach分享全球資安犯罪情勢,協助企業打造最完善的資安防禦策略藍圖,掌握資安主控權!

圖說:趨勢科技CLOUDSEC 2016媒體分享會,邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會
圖說:趨勢科技CLOUDSEC 2016媒體分享會,邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會

台灣偵測到的勒索病毒高達2百多萬!為全亞洲第二高,僅次日本

雲端服務、行動裝置與物聯網等科技進步,使全球資安威脅層出不窮。根據趨勢科技偵測統計報告指出註1,每5分鐘至少攔截到80萬個惡意網址、垃圾郵件或惡意軟體產生,更有1,800個新的網路威脅產生並散佈到網域中,整體資安環境面臨巨大挑戰!趨勢科技觀察,近年猖獗的網路駭客已逐漸運用勒索病毒 Ransomware (勒索軟體/綁架病毒)針對企業進行攻擊,以謀得較高的勒索利潤。根據趨勢科技研究報告顯示註2,截至2016年第二季,台灣地區所偵測到的勒索病毒便高達2百多萬!為全亞洲第二高,僅次於日本。 Continue reading “勒索病毒侵台居亞洲第二,僅次日本”

著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊

從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。IXESHE 駭客組織自台灣新政府520上任以來就開始進行密集的攻擊。從其所使用的釣魚信件來看,可以發現攻擊者對於台灣政府的組織架構及輿情相當熟捻,不停利用最新的熱門話題來製作釣魚信件
趨勢科技根據對其所使用的惡意後門程式所進行的分析,攻擊者從製造惡意程式,製作社交工程文件到送抵目標只需要5小時,也使得傳統進行特徵碼比對的防毒解決方案難以有效的偵測及封鎖。

IXESHE是著名的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)駭客組織,從2009年開始就頻繁地進行網路間諜活動,主要針對東亞的各國政府、電子廠商和一家德國電信公司。其他目標還包括了G20的政府官員以及紐約時報。趨勢科技一直都在密切注意這個駭客組織(IXESHE)所進行的針對性攻擊/鎖定目標攻擊(Targeted attack )攻擊活動,也在2012年推出了技術白皮書來詳述 IXESHE所用的手法及攻擊特徵。IXESHE也曾在2013年及2016年涉及針對北美傳播媒體產業及高科技產業的針對性攻擊。

[延伸閱讀:IXESHE白皮書]

台灣自2009年以來就一直是IXESHE的攻擊目標,而最新的一波攻擊也更新了其所使用的後門工具及通訊模式,同時利用最新的熱門話題(包括南海仲裁案、尼伯特風災和雄三飛彈誤射事件)來透過魚叉式網路釣魚 (Spear Phishing )信件攻擊鎖定的受害者。

 IXESHE 的 C&C 伺服器主要分布在台灣和美國
IXESHE 的 C&C 伺服器主要分布在台灣和美國(資ˋ料來源:IXESHE白皮書)

 

 

精心設計的社交工程誘餌

最新的這一波攻擊從2016年五月開始就進行密擊的攻擊,不停的利用最新熱門話題作為誘餌。從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。 

圖1、利用雄三飛彈誤射案作為誘餌的魚叉式網路釣魚信件截圖
圖1、利用雄三飛彈誤射案作為誘餌的魚叉式網路釣魚信件截圖

 

這些精心製作的魚叉式網路釣魚信件不僅僅是利用了熱門話題。其所夾帶的釣魚文件在內容及檔案屬性等細節上也都相當考究,讓人難以分辨真假。而且這些文件所用上的各層級官員姓名、手機號碼等資訊也讓人驚訝於IXESHE對台灣新政府掌握的精細程度。

圖2 釣魚文件截圖 
圖2 釣魚文件截圖
圖3、釣魚文件截圖 
圖3、釣魚文件截圖

 

Continue reading “著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊”

採礦業面臨的網路威脅

檢視研究報告:「採礦業面臨的網路威脅」(Cyber Threats to the Mining Industry)
檢視研究報告:「採礦業面臨的網路威脅」(Cyber Threats to the Mining Industry)

 

由於今日全球市場對於大宗物資及商品的激烈爭奪,而且經濟發展皆需仰賴天然資源,再加上近來氣候極端變化,使得採礦業開始成為網路間諜活動的目標,甚至極端一點,成為破壞性或毀滅性網路攻擊的目標。這類網路間諜活動的目標在於取得最新的科技知識和情報,以便能在全球經濟市場當中維持競爭優勢與地位。

歹徒看上了採礦業在全球供應鏈上的戰略地位,使得該產業開始面臨網路攻擊的威脅。這類威脅不僅具備相當高的針對性,而且經過精密的計畫,其幕後的駭客團體也包羅萬象,從駭客激進團體、敵對國家,到有組織的犯罪集團。這些駭客已學會如何利用礦物天然資源在區域和全球供應鏈以及國家經濟當中所扮演的重要角色,並且知道如何攻擊礦業公司因極度仰賴整合性自動化系統所暴露的漏洞。

針對不同產業的網路攻擊

今日,各種產業遭到網路攻擊的新聞已經司空見慣,就像日常播報的資料外洩新聞一樣。進階持續性滲透攻擊 (APT)原本只是純粹的產業間諜行動 (如 BlackEnergy),現在卻已演變成可能造成實體破壞的攻擊與毀滅行動。研究人員發現,BlackEnergy 和另一個名為 Sandworm 的 APT 行動似乎是 2015 年 12 月烏克蘭兩座發電廠大斷電幕後的元凶。此外,BlackEnergy 和 KillDisk 亦曾試圖針對一家礦業公司和一家大型鐵路公司發動類似攻擊,同樣也是位於烏克蘭。這顯示 BlackEnergy 已有能力從能源產業跨足到其他產業。

 

產業、攻擊行動、惡意程式和幕後操縱 (C&C) 伺服器之間的交集。

 

產業為何會遭到攻擊?

網路攻擊並非單純只是 IT 的問題,而是可能對企業日常營運造成深遠的影響:營運中斷、設備損壞、商譽受損、財物損失、智慧財產權損失、競爭力損失、健康與人身安全風險等等。今日網路犯罪集團覬覦的目標不是只有錢和財務資料而已,他們不論在技術能力和犯罪手法上都有長足的進展,而且越來越曉得竊取敏感資料的價值所在,以及如何利用這些資料來賺錢並操弄商業的運作。例如,某個團體從 100 多家公司竊取到市場敏感的資訊,另一個團體從金融新聞媒體竊取到產品的上市前資訊,然後兩個團體彼此交換竊取到的資訊,這樣就能從股票市場獲利。 Continue reading “採礦業面臨的網路威脅”

2015年十大資安關鍵字

本部落格從 2015年熱門資安新聞相關的十大資安關鍵字,回顧即將過去的這一年發生的資安大事件:

  1. CryptoLocker (加密勒索軟體)

    1200 627 cryptolocker
    有史上最狠毒勒索軟體 Ransomware (勒索病毒/綁架病毒)之稱,2014年開始入侵臺灣,2015年災情持續蔓延。
    前一陣子有位台北市某公司會計人員,誤點免費中獎iPhone 6S的釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管掉離現職。根據2015年金毒獎票選,「勒索軟體肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索軟體)奪魁,得票數占42.11%

    【相關新聞

    CryptoLocker勒索軟體肆虐可能助長網路銀行惡意程式
    透過可移除媒體散播的新CryptoLocker 勒索軟體
    勒索軟體CryptoLocker,攻擊個案翻兩倍
    勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊
    Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
    真有其事還是虛張聲勢?Chimera 加密勒索軟體/綁架病毒,威脅將您的資料公布在網路上
    加密勒索軟體:用比特幣贖回你的檔案!!

    >> 看更多

    ransom1224


    PCC2016_1Y3U_TW box

    PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密!即刻免費下載

     


     

     

  2. PoS Malware (端點銷售惡意軟體)

    POS

    端點銷售(PoS)惡意軟體攻擊呈現巨大的跳躍,全功能PoS 惡意軟體,可回傳信用卡號碼

    【 相關新聞

    PoS攻擊的演進 – 更加複雜也更具針對性
     IOE攻擊情境POS 端點銷售惡意軟體 POS銷售端點(POS)記憶體惡意軟體
    【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料
    2015年第三季資安威脅總評: 駭客已悄悄將PoS攻擊目標移轉到中小企業 (SMB)
     MalumPoS 惡意程式,可針對任何POS系統發動攻擊
    < IoT物聯網 > RawPOS 惡意程式跟你一起在飯店 Check in
    全功能PoS 惡意軟體,可回傳信用卡號碼,竊取巴西 22,000筆信用卡資訊
    < IoT 物聯網-PoS 攻擊>付款終端機在交易中如何處理你的信用卡資料?
    < IoT 物聯網新趨勢 >飛機、火車與汽車 – 有哪裡可以逃過PoS惡意軟體的威脅?
    資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長
    >>看更多

  3. Pawn Storm (網路間諜行動)

    間諜軟體
    一項持續性網路間諜行動。曾攻擊北大西洋公約(NATO)會員國與美國白宮,亦曾攻擊馬航MH17失事調查委員會

    【相關新聞
    Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼新的棘手問題:Pawn Storm零時差攻擊如何閃過Java的點擊播放(Click-to-Play)保護俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭
    Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列
    Pawn Storm 間諜行動曝光:政治人物,搖滾歌手,藝術家成為攻擊目標
    分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施
    < APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增
    數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊
    第三季資安總評:資料外洩成零時差漏洞攻擊利器,甚至危及人身安全

    >> 看更多

  4. XcodeGhost (iOS木馬)

    iOS 開發工具染毒,蘋果出現嚴重漏洞,安全神話遭打破
    mobile iphone手機
    【 相關新聞

    【iOS安全】XcodeGhost 災難到底是怎麼來的?(含受影響應用程式清單)
    Yispectre惡意程式感染中國和台灣:就算不越獄的 iPhone 也不一定安全
    >> 看更多

Continue reading “2015年十大資安關鍵字”

 < CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?

作者:Raimund Genes (趨勢科技技術長,CTO)

前不久我上了由 Bill Murphy 主持的 RedZone Podcast 節目,談論到有關「 針對性攻擊/鎖定目標攻擊(Targeted attack )」和「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)」之間有何差異 (當然還有其他主題)。這是一個過去我經常談到的一個話題,也是一個我經常在各種會議上被問到的問題。讓我來解釋一下我的意思。

APT攻擊一詞,大約是十年前從美國軍方流傳出來的一個用語。它有相當明確的定義,意指那些由國家所發動的攻擊。這些攻擊當然不會明確張揚其幕後的主使者。其程式碼也不會告訴你是哪個情報單位或國家所為。要追溯某項攻擊確切的幕後主使國家有其困難:畢竟,駭客很可能會透過重重的跳板來隱藏其真正的源頭。

攻擊,APT,目標攻擊

不過,在大多數情況下,當我們在檢視某個 APT攻擊所用的程式碼時可以發現,這些程式都擁有相當完整的設計。它們不像是由一小群個人所開發,反倒像背後有一整個開發團隊。此外,我們也無法在地下犯罪網路上找到這些程式的藍本,意思是:不論是誰所開發,這些都是他們自己的創作。

這一切所需的代價不斐。想想看您需要多少資源才能養得起這些開發人員。看看 Hacking Team 資料外洩 的例子,他們的產品在全球各國販售的價格在數十萬美元之譜。想像一下,若是一個國家要培養自己的「駭客團隊」要付出比這價格高出多少的代價。

然而,大多數人「並不」需要擔心 APT攻擊 的問題。除非您是某個政府機構或國防承包商的 IT 系統管理員,否則您大概不會需要擔心APT攻擊 威脅。您「真正」需要擔心的是資料外洩和 針對性目標攻擊(Target attack )。

針對性攻擊/鎖定目標攻擊(Targeted attack )」與 APT攻擊截然不同,它們不是由國家所發動,而是由全世界各個角落的駭客所為。他們的動機五花八門,包括:竊取資訊、從事信用卡詐騙、或者單純只是在您的企業內搞破壞。他們所用的工具基本上都能在地下市集上以合理的價格買到。其真正「精密」之處在於這些攻擊所用的社交工程技巧Continue reading ” < CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?”

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

Hacking Team 資料外洩相關的Flash漏洞攻擊,被發現入侵了台灣和香港的網站, 此一攻擊活動從 7月9日開始,也就是Hacking Team 資料外洩宣布被駭的幾天後隨即受駭。會下載 Poison Ivy遠端存取工具和其他惡意軟體到使用者電腦上。

PoisonIvy是個在地下市場中流行的RAT後門程式,通常被用在「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)攻擊中。這個後門程式已知會抓取螢幕截圖、網路攝影機影像和聲音;記錄按鍵和活動視窗;刪除、搜尋和上傳檔案並執行其他侵入性行為。

這一波攻擊入侵了台灣的電視台、教育單位、宗教團體及一知名政黨的網站;還有一個受歡迎的香港新聞網站。這些受駭的網站有著固定的使用者,比方說提供就業考試給政府僱員的教育單位,已經製作和進口電視節目和電影長達十年的台灣網路電視。

我們已經通知了受攻擊影響網站的所有者;然而到本文撰寫時,還有三個網站處在受駭狀態。

 

Hacking Team的痕跡仍然在那

攻擊者一開始傳送Hacking Team所流出的Flash Player漏洞(CVE-2015-5119)到預先入侵好的網站上,就在該公司宣布遭受駭客攻擊(7月5日)和Adobe修補漏洞(7月7日)的幾天後。攻擊者們進行另一波的攻擊,導致另一個Hacking Team相關的Flash零時差漏洞攻擊(CVE-2015-5122)。

 

圖1、Hacking Team相關Flash漏洞攻擊送至台灣和香港網站的時間表

 

值得注意的是,在第一波和第二波攻擊開始時,兩個台灣教育機構網站皆在攻擊目標中。

 

圖2、台灣受駭的宗教團體網站

 

PoisonIvy和其他惡意軟體

趨勢科技發現所有受駭網站(除了一知名台灣政黨官方網站)都被用iframe來注入一惡意SWF,會導致遠端訪問工具(RAT) Poison Ivy (BKDR_POISON.TUFW)。

而另一方面,該政黨網站會帶來嵌入在圖片內的不同惡意軟體,偵測為TROJ_JPGEMBED.F。政黨網站跟其他受駭網站一樣會將資料發送到同一伺服器(223[.]27[.]43[.]32),推測這是同一波攻擊活動的一部分。

Hacking Team Flash exploit campaign

圖3、Hacking Team Flash漏洞攻擊所嵌入的圖片

 

雖然分析工作仍在進行中,好確定這波攻擊活動是否為 APT攻擊趨勢科技已經看到一個可疑網域wut[.]mophecfbr[.]com嵌入在惡意軟體中,它也出現在之前報導被稱為「Tomato Garden(番茄花園)」針對性攻擊所使用命令和控制(C&C)列表內。

 

建議

 

為了防止電腦遭受漏洞攻擊和惡意後門程式植入,使用者要更新Adobe Flash Player。你可以透過Adobe Flash Player網頁來檢查自己是否使用最新的版本。隨時了解常用軟體的最新消息也有幫助。參考我們的部落格文章 – 「Adobe Flash難題:積重難返」來了解更多最近的Flash相關事件,以及使用者和企業可以做些什麼。

 

趨勢科技可以偵測此事件中的所有惡意軟體和漏洞攻擊碼。SHA1值如下:

  • SWF_CVE20155122.A
    d4966a9e46f9c1e14422015b7e89d53a462fbd65
  • SWF_CVE20155122.B
    fdcdf30a90fa22ae8a095e99d80143df1cc71194
  • SWF_CVE20155122.C
    9209fee58a2149c706f71fb3c88fef14b585c717
  • BKDR_POISON.TUFW
    2dc1deb5b52133d0a33c9d18144ba8759fe43b66

 

@原文出處:Hacking Team Flash Attacks Spread: Compromised TV and Government-Related Sites in Hong Kong and Taiwan Lead to PoisonIvy|作者:Joseph C Chen(網路詐騙研究員)

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

Java零時差漏洞再現,鎖定專門攻擊軍事單位,政府機關和國防機構

Pawn Storm:兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務  Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Attack 攻擊

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞,這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外,該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015),此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle, Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外,該漏洞也已列入 CVE 漏洞資料庫當中,編號:CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具,因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中,我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是,這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴)  在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似,不過當時的網址並未包含這次發現的漏洞。除此之外,Pawn Storm 還會攻擊其他政府機構,並利用一些政治事件和研討會為社交工程(social engineering )誘餌,如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外,媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。 Continue reading “Java零時差漏洞再現,鎖定專門攻擊軍事單位,政府機關和國防機構”

< APT 攻擊防禦 > 識別和區分網路及使用者

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最關鍵的主動應對措施。對組織來說,適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

attack hacker 鍵盤攻擊

這是一項重要的任務,因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路;同樣的,某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料(我們經常討論的話題)的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險,以及有那些已經出現在自己的網路內。後者尤其困難,甚至連大型組織也面臨到這樣的挑戰。但這很重要,在組織提高其安全態勢前,需要先了解自己的狀況。

在過去,這項任務可能比較容易,因為所有的設備都在IT部門管控之下,而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者,一般來說是一組人,可以將事情有邏輯的安排好,輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的,因為角色會不斷改變和更具備彈性,也代表員工每日所需的資料可能會經常變動。此外,企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務,但卻是必要的。在面對今日的針對性攻擊時,識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者,在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼,有那些標準可以用來識別和分類網路?下面是一些例子。 Continue reading “< APT 攻擊防禦 > 識別和區分網路及使用者”

< APT 攻擊 >「熱帶騎警攻擊行動」強勢攻台  62%鎖定政府單位與重工業

【台北訊】趨勢科技發佈「熱帶騎警攻擊行動」觀察報告,指出台灣與菲律賓一直是此項「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的首要目標,在過去三個月內,62%的攻擊行為都是針對台灣的政府單位與重工業,菲律賓的軍事單位則是另一個目標。根據趨勢科技病毒防治中心最新研究,駭客攻擊火力以今年3月份最為密集,連最常被利用的c&c伺服器也位於台灣!報告中詳述攻擊行動的目標、階段與手法,趨勢科技也表示,如同其他APT攻擊一樣,「熱帶騎警攻擊行動」已帶來重大危險,建議政府單位和企業都應有一套完整的監控策略與進階威脅防護工具,才能確切掌握並修補其網路的安全漏洞。

APT

 

趨勢科技資深技術顧問簡勝財表示:「『熱帶騎警攻擊行動』自2012年起即現出蹤影,但在今年3月份對台灣的攻擊火力大幅增強,並仍持續進行中。被利用的C&C伺服器中,有43%位於台灣,其次則分別位於美國、香港和阿拉伯聯合大公國

 

簡勝財指出,這項攻擊行動之所以能夠成功,是綜合了許多因素,例如利用兩個至今最常遭到攻擊的 Windows漏洞:CVE-2010-3333 和CVE-2012-0158 來入侵目標網路,並且採用了基本的圖像隱藏術 (steganography) 來將惡意程式碼隱藏在圖片當中,再搭配社交工程(social engineering 技巧騙取收件者的信任,而不小心開啟洩漏資訊給駭客的後門。此外,截至目前為止,台灣仍有17%的系統還在使用微軟Windows XP作業系統,而許多企業對於如何防禦 APT攻擊這種長期持續滲透的攻擊仍不熟悉、防護架構也不完整。
【延伸閱讀】
堅持上工的Windows XP ,讓DOWNAD 登上第二季垃圾毒王寶座
第一個 Windows XP 系統終止支援後出現的重大IE漏洞
十二年了,Windows XP時代終結:如果你還在用它怎麼辦

本次事件的攻擊手法,是先使用社交工程(social engineering 釣魚郵件、挾帶惡意附件檔案,進一步攻擊一些既有的漏洞,透過與收件者業務有關聯的郵件主旨、內容以及配合該情況的附件檔案名稱,趨勢科技曾發現的有:「關於104年中央政府總預算」或「實驗室電話表」等檔名,讓收件人不疑有他,進而下載並開啟郵件中所附的檔案。

社交工程釣魚郵件樣本

圖一、社交工程釣魚郵件樣本

Continue reading “< APT 攻擊 >「熱帶騎警攻擊行動」強勢攻台  62%鎖定政府單位與重工業”

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

Pawn Storm活動激增,鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)行動在新的一年突然爆炸性成長,導入了新的基礎架構,同時也開始鎖定北大西洋公約組織 (NATO) 會員國,甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報,同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

通用 security

 

Pawn Storm 攻擊行動:背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動,其目標相當廣泛,包括:軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客,至少從 2007 年開始即活躍至今,其犯案模式非常固定。我們為所取的名稱,是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法,與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件,文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式;第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式,讓瀏覽者感染前述的惡意程式;最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體,此外,烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月,趨勢科技觀察到 Pawn Storm 又有新的動作,並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式

Continue reading “< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增”