APT目標攻擊 - 資安趨勢部落格

Void Balaur網路傭兵（cybermercenary）最愛攻擊這些能接觸到大量私人資訊的產業

2021 年 12 月 02 日2021 年 11 月 29 日趨勢科技 TrendMicro

隨著網路攻擊成為有力組織進攻武器庫內的常用手段，一個向潛在客戶提供網路攻擊服務、工具甚至培訓的產業已然發展起來。
主要業務仍是網路間諜和資料竊取的 Void Balaur是產能最高的網路傭兵之一，該組織的會在地下論壇或Probiv等網站販賣關於個人的高度敏感資料，對世界各地不同的部門和產業都發動過攻擊。
自2015年以來就一直活躍的Void Balaur主要從事網路間諜活動和資料竊盜，將竊取的資訊出售給任何願意付錢的人。在我們調查Void Balaur的活動時，發現該組織攻擊了超過3,500名受害者，其中有些人甚至持續地反覆遭受攻擊。

「網路傭兵（cybermercenary）」，出售服務給任何願意付錢的人

什麼是「網路傭兵（cybermercenary）」?

隨著網路攻擊成為有力組織進攻武器庫內的常用手段，一個向潛在客戶提供網路攻擊服務、工具甚至培訓的產業已然發展起來。這產業內的主要參與者之一就是所謂的「網路傭兵（cybermercenary）」 – 顧名思義，這些人或團體為政府、犯罪組織甚至企業等客戶提供不同類型的網路產品和服務並收取費用。理論上，這些網路傭兵可用於非惡意目的，如幫助政府打擊恐怖主義和有組織犯罪。但事實是，他們的服務最終被用於針對客戶對手的攻擊。

網路犯罪分子們有著各種不同的動機：例如，有些駭客是為了進行破壞性政治攻擊，有些則可能更傾向於進行網路間諜活動或收集目標受害者資訊。當然，金錢仍是個強大的網路犯罪誘因 – 甚至可能是最常見的動機。有些網路犯罪份子（如勒索病毒犯罪組織）能直接從網路攻擊中獲利。但有些人則更願意成為「網路傭兵（cybermercenary）」，出售服務給任何願意付錢的人。

Void Balaur是產能最高的網路傭兵之一，這是個講俄語的駭客組織，對世界各地不同的部門和產業都發動過攻擊。雖然Void Balaur提供各式各樣的服務，但該組織的主要業務仍是網路間諜和資料竊取，會在地下論壇或Probiv等網站販賣關於個人的高度敏感資料。

提供大量私人資料選項:如航班和旅行資料、犯罪記錄、財務記錄、退休基金、簡訊列印等

繼續閱讀

採礦業面臨的網路威脅

2016 年 07 月 15 日2016 年 07 月 12 日趨勢科技 TrendMicro

由於今日全球市場對於大宗物資及商品的激烈爭奪，而且經濟發展皆需仰賴天然資源，再加上近來氣候極端變化，使得採礦業開始成為網路間諜活動的目標，甚至極端一點，成為破壞性或毀滅性網路攻擊的目標。這類網路間諜活動的目標在於取得最新的科技知識和情報，以便能在全球經濟市場當中維持競爭優勢與地位。

歹徒看上了採礦業在全球供應鏈上的戰略地位，使得該產業開始面臨網路攻擊的威脅。這類威脅不僅具備相當高的針對性，而且經過精密的計畫，其幕後的駭客團體也包羅萬象，從駭客激進團體、敵對國家，到有組織的犯罪集團。這些駭客已學會如何利用礦物天然資源在區域和全球供應鏈以及國家經濟當中所扮演的重要角色，並且知道如何攻擊礦業公司因極度仰賴整合性自動化系統所暴露的漏洞。

針對不同產業的網路攻擊

今日，各種產業遭到網路攻擊的新聞已經司空見慣，就像日常播報的資料外洩新聞一樣。進階持續性滲透攻擊 (APT)原本只是純粹的產業間諜行動 (如 BlackEnergy)，現在卻已演變成可能造成實體破壞的攻擊與毀滅行動。研究人員發現，BlackEnergy 和另一個名為 Sandworm 的 APT 行動似乎是 2015 年 12 月烏克蘭兩座發電廠大斷電幕後的元凶。此外，BlackEnergy 和 KillDisk 亦曾試圖針對一家礦業公司和一家大型鐵路公司發動類似攻擊，同樣也是位於烏克蘭。這顯示 BlackEnergy 已有能力從能源產業跨足到其他產業。

產業、攻擊行動、惡意程式和幕後操縱 (C&C) 伺服器之間的交集。

產業為何會遭到攻擊？

網路攻擊並非單純只是 IT 的問題，而是可能對企業日常營運造成深遠的影響：營運中斷、設備損壞、商譽受損、財物損失、智慧財產權損失、競爭力損失、健康與人身安全風險等等。今日網路犯罪集團覬覦的目標不是只有錢和財務資料而已，他們不論在技術能力和犯罪手法上都有長足的進展，而且越來越曉得竊取敏感資料的價值所在，以及如何利用這些資料來賺錢並操弄商業的運作。例如，某個團體從 100 多家公司竊取到市場敏感的資訊，另一個團體從金融新聞媒體竊取到產品的上市前資訊，然後兩個團體彼此交換竊取到的資訊，這樣就能從股票市場獲利。繼續閱讀

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

2015 年 08 月 05 日2015 年 08 月 19 日趨勢科技 TrendMicro

Hacking Team 資料外洩相關的Flash漏洞攻擊，被發現入侵了台灣和香港的網站, 此一攻擊活動從 7月9日開始,也就是Hacking Team 資料外洩宣布被駭的幾天後隨即受駭。會下載 Poison Ivy遠端存取工具和其他惡意軟體到使用者電腦上。

PoisonIvy是個在地下市場中流行的RAT後門程式，通常被用在「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）攻擊中。這個後門程式已知會抓取螢幕截圖、網路攝影機影像和聲音；記錄按鍵和活動視窗；刪除、搜尋和上傳檔案並執行其他侵入性行為。

這一波攻擊入侵了台灣的電視台、教育單位、宗教團體及一知名政黨的網站；還有一個受歡迎的香港新聞網站。這些受駭的網站有著固定的使用者,比方說提供就業考試給政府僱員的教育單位,已經製作和進口電視節目和電影長達十年的台灣網路電視。

我們已經通知了受攻擊影響網站的所有者；然而到本文撰寫時，還有三個網站處在受駭狀態。

Hacking Team的痕跡仍然在那

攻擊者一開始傳送Hacking Team所流出的Flash Player漏洞（CVE-2015-5119）到預先入侵好的網站上，就在該公司宣布遭受駭客攻擊（7月5日）和Adobe修補漏洞（7月7日）的幾天後。攻擊者們進行另一波的攻擊，導致另一個Hacking Team相關的Flash零時差漏洞攻擊（CVE-2015-5122）。

圖1、Hacking Team相關Flash漏洞攻擊送至台灣和香港網站的時間表

值得注意的是，在第一波和第二波攻擊開始時，兩個台灣教育機構網站皆在攻擊目標中。

圖2、台灣受駭的宗教團體網站

PoisonIvy和其他惡意軟體

趨勢科技發現所有受駭網站（除了一知名台灣政黨官方網站）都被用iframe來注入一惡意SWF，會導致遠端訪問工具（RAT） Poison Ivy (BKDR_POISON.TUFW)。

而另一方面，該政黨網站會帶來嵌入在圖片內的不同惡意軟體，偵測為TROJ_JPGEMBED.F。政黨網站跟其他受駭網站一樣會將資料發送到同一伺服器（223[.]27[.]43[.]32），推測這是同一波攻擊活動的一部分。

圖3、Hacking Team Flash漏洞攻擊所嵌入的圖片

雖然分析工作仍在進行中，好確定這波攻擊活動是否為 APT攻擊，趨勢科技已經看到一個可疑網域wut[.]mophecfbr[.]com嵌入在惡意軟體中，它也出現在之前報導被稱為「Tomato Garden（番茄花園）」針對性攻擊所使用命令和控制（C&C）列表內。

建議

為了防止電腦遭受漏洞攻擊和惡意後門程式植入，使用者要更新Adobe Flash Player。你可以透過Adobe Flash Player網頁來檢查自己是否使用最新的版本。隨時了解常用軟體的最新消息也有幫助。參考我們的部落格文章 – 「Adobe Flash難題：積重難返」來了解更多最近的Flash相關事件，以及使用者和企業可以做些什麼。

趨勢科技可以偵測此事件中的所有惡意軟體和漏洞攻擊碼。SHA1值如下：

SWF_CVE20155122.A
d4966a9e46f9c1e14422015b7e89d53a462fbd65

SWF_CVE20155122.B
fdcdf30a90fa22ae8a095e99d80143df1cc71194

SWF_CVE20155122.C
9209fee58a2149c706f71fb3c88fef14b585c717

BKDR_POISON.TUFW
2dc1deb5b52133d0a33c9d18144ba8759fe43b66

＠原文出處：Hacking Team Flash Attacks Spread: Compromised TV and Government-Related Sites in Hong Kong and Taiwan Lead to PoisonIvy|作者：Joseph C Chen（網路詐騙研究員）

《想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

< APT 攻擊 >趨勢科技發佈進階持續性滲透攻擊(APT)趨勢報告

2015 年 04 月 30 日2015 年 04 月 30 日趨勢科技 TrendMicro

APT手法持續突破政府機關、軟硬體公司、消費性電子製造商成目標

【2015年4月30日台北訊】全球雲端安全領導廠商趨勢科技發佈最新進階持續性滲透攻擊(APT)發展趨勢：2014 年度報告。根據報告指出，過去一年，進階持續性滲透攻擊(簡稱 APT) 技巧不斷翻新，威脅變得更為多元複雜，而情報蒐集與竊取資料是所有APT的共通目的。趨勢科技呼籲，政府、企業皆需全面了解最新APT發展情勢以調整防禦策略，降低遭遇攻擊的風險。

趨勢科技資深技術顧問簡勝財指出：「由於其高破壞性與高成功率，讓網路犯罪集團越來越常採用APT的攻擊技巧。要反制這類攻擊，企業必須隨時保持警戒，並且採取有效的解決方案來因應不斷演變的網路安全情勢。建議企業必須建立一套客製化防禦，運用進階威脅偵測技術與共享的威脅情報來偵測、分析、回應一般標準資安解決方案所無法偵測的攻擊。」

根據報告預測，APT目前依然難以防範，其不著痕跡的攻擊方式讓有心人士蒐集情報、竊取機密資料的軌跡無法立即偵測，且技巧和手法皆不斷翻新。APT已成為全球問題，網路犯罪者最愛的目標不再僅侷限於美國、俄羅斯與中國。依據趨勢科技於 2014 年所監控的案例，澳洲、巴西、中國、埃及和德國是APT幕後操縱(C&C)伺服器分布最多的前五大國家，台灣也名列前十五名之一。雖然，政府機關依然是此類攻擊最愛的對象，不過趨勢科技也發現，軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到APT的次數也突然攀升。

繼續閱讀

TV5Monde-法國最大的全球性電視網遭攻擊,11個頻道全數斷線：四小時改變了世界

2015 年 04 月 17 日2015 年 04 月 22 日趨勢科技 TrendMicro

4月8日晚上10點到翌日凌晨的1點，TV5Monde，這家法國最大的全球性電視網因為網路攻擊而導致完全斷線。這次攻擊的範圍前所未見。攻擊者能夠：

完全中斷 TV5Monde所有11個頻道的播出。
完全中斷 TV5Monde 的內部網路。
取得 TV5Monde 網站和社群媒體帳號的控制。
變更網站內容成為親ISIS的聲明。
在社群媒體帳號貼出參與對ISIS行動的法國士兵親屬名字和個人資料。

上述任何一項，單獨發生都已經是重大的網路攻擊事件，全部同時發生更是提升了整個事件的層級。有關單位正持續進行調查，以期精確掌握此攻擊事件的源頭與始末。

TV5Monde，這家法國最大的全球性電視網因為網路攻擊而導致完全斷線,網路相關報導

根據趨勢科技初步的調查顯示，VBS_KJWORM.SMA是由名為Sec-Worm 1.2 Fixed vBS Controller的駭客工具所產生。我們將此遠端控制木馬產生器偵測為HKTL_KJWORM。

要指出的是，Kjw0rm已知的惡意軟體家族；趨勢科技在一月份時曾經提及此惡意軟體家族，因為它來自于外洩的NJWORM原始碼。Kjw0rm可以在dev-point.com的阿拉伯文區找到。

研究趨勢科技主動式雲端截毒服務 Smart Protection Network的資料後發現，VBS_KJWORM.SMA在過去一周至少在12個國家出現，包括了南非和印度。這並不令人驚訝，因為這惡意軟體可以從地下論壇取得，任何人都可以使用。

此惡意軟體可以被用來作為後門程式進入受感染系統。此外，據報在攻擊中所用的C&C伺服器跟另一個後門程式BKDR_BLADABINDI.C有關。經過調查讓我們相信Kjw0rm和BLADABINDI幕後的黑手是相同的。

進一步由趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料顯示其他VBS惡意軟體變種目前也在肆虐中。同時也發現四個不同的C&C伺服器（跟NJWORM所用的不同）。這些不同樣本跟之前的NJRAT/JENXCUS攻擊有關。NJRAT會關連到拉丁美洲的DUNIHI攻擊。

註：SECWORM惡意軟體是來自KJw0rm的遠端存取木馬，加上一些修改和改進。

了解造成公司停擺之網路攻擊的影響

根據報導，這起在4月9日針對法國TV5Monde電視網的大規模網路攻擊開始於大約當地時間的晚上10點，當時該電視網的11個頻道都停播了。

此外，TV5Monde的網站、公司電子郵件以及他們的社群媒體帳號都遭到攻擊。該電視網的Facebook網頁被用來發佈據稱來自伊斯蘭國ISIS的宣傳資訊。該電視網的一個Twitter帳號也被用來貼出反對美國和法國的留言，以及發出威脅法國士兵家屬的訊息。法國士兵的身分證和護照影本也被公佈。

要特別指出的是，此次攻擊的技術細節尚未明朗。然而，遠端存取木馬產生器目前在數個駭客論壇都可取得，任何惡意份子都能加以利用。因此，不需要太多技術背景就可以加以使用。

趨勢科技威脅研究反應團隊也密切關注此事件發展，以確保提供用戶完整的防護。同時，藉著本次惡意攻擊事件發生的機會，趨勢科技再次提醒客戶及合作夥伴，我們無時無刻都處於精密規劃的惡意攻擊威脅之中，因此更需要建立一套完整的防禦措施。即便這次事件的初始攻擊目標是位於巴黎的公司，但是現今的資訊流早已無國界，也可能造成全球性的重大影響。

APT 攻擊-進接持續性威脅(Advanced Persistent Threat，APT)與其他目標式攻擊的其中一項關鍵在於他們會尋找企業的系統及軟體弱點與安全防護漏洞，並搶先在漏洞修補前發動攻擊。滲透進入企業內部網路後，隨即開始使用各種惡意程式、駭客工具、惡意程式碼回報給遠端的命令與控制伺服器（Command & Control Server, C&C）。有鑑於此，趨勢科技也持續將新發現的C&C的IP位址加入趨勢科技主動式雲端截毒技術（Smart Protection Network, APN）資料庫中，協助阻擋此類攻擊事件中的回報行為，大幅降低可能帶來的損害。

趨勢科技在此建議您，要防範駭客攻擊，除了防毒軟體及各種資訊安全產品皆須正確佈署並隨時保持更新之外，應當採取更積極主動的措施（可參考給IT管理員的 6 個網路安全建議），在日常生活中也須提高資安意識，例：點擊電子郵件中的網址前須仔細確認其真偽。

如前所述，趨勢科技仍持續關注歐洲網路攻擊事件的發展，並會將新資訊或是防護措施（病毒碼或新防禦規則等）公布於以下知識庫：https://esupport.trendmicro.com/solution/en-us/1109423.aspx。此事件再次提醒我們，現今的數位化世界高度連結已無國界，面對資安威脅絕不可掉以輕心。如對目標式攻擊或惡意威脅有任何問題，請聯絡趨勢科技技術支援部。相關資料請參閱。

這事件更加令人驚心的是幕後很有可能有著政治或恐怖分子目的（跟我們最近的Arid Viper行動報告中所陳述的類似）。

完整的細節尚未明朗，不過之前的攻擊如 Arid Viper 和 Sony（遭遇相同命運的另一家大公司）顯示這很有可能是網路釣魚（Phishing）和魚叉式網路釣魚造成。我們最近針對美洲國家組織（OAS）所作關於關鍵基礎設施攻擊的調查結果也支持了這一論點。研究發現，網路釣魚（Phishing）是針對關鍵基礎設施的頭號攻擊手法，有71％的受訪者說自己曾遭遇這樣的攻擊。

而此事件所最凸顯的是針對關鍵基礎設施的網路攻擊會影響到一般民眾這事實。簡而言之，這是第一次出現只在驚悚片或災難片中會看到的針對關鍵基礎設施攻擊。

TV5Monde在約上午2點恢復對其網路及運作的控制，約是攻擊開始後的四個小時。截至本文撰寫時，他們已經保持控制超過了24小時。從這一點看，攻擊似乎是結束了。

但該擔心的事情現在才開始浮現，因為我們知道發生什麼及其代表什麼。繼續閱讀