本文分析了最新發現的 White Rabbit 勒索病毒並仔細研究了它的躲避偵測技巧。
趨勢科技發現最新的 White Rabbit 勒索病毒 家族在 2021 年 12 月暗中攻擊了一家美國當地銀行。這個新的勒索病毒跟知名的 Egregor 勒索病毒一樣會隱藏自己的行為,而且可能跟知名的「FIN8」「進階持續性滲透攻擊」(APT攻擊)
集團有所關聯。
White Rabbit 最值得注意的一點是,它的惡意程式需要在指令列輸入一個特殊的密碼,才能解開其內部的組態設定並執行勒索病毒行為。這種避免暴露惡意行為的技巧是知名勒索病毒家族 Egregor 為了防止研究人員分析其惡意程式而採用的密技。
繼續閱讀TeamTNT 駭客集團經常竊取 Amazon Web Services (AWS)、Docker 與 Linux Secure Shell (SSH) 的登入憑證,此外也從事其它惡意活動,包括在 Linux 裝置上挖礦或植入後門程式 (如 IRC 殭屍程式與遠端指令列腳本)。不過,該集團的攻擊範圍當時仍是個謎。趨勢科技在分析該集團的活動時發現了一個二進位檔案內含一段寫死的指令列腳本 (shell script) 專門用來竊取 AWS 登入憑證,進而掌握了該集團的攻擊範圍。
Carbanak 和 FIN7 如何發動攻擊?以下分析這兩個以利益為動機並專門鎖定銀行、零售業者與其他企業目標的駭客集團常用的一些技巧。
持續監控網路犯罪集團最新動態是資安研究人員和執法單位防治網路犯罪的工作內容之一。 Carbanak 與 FIN7 是當今以利益為動機的兩大網路犯罪集團。雖然有些研究機構會將這兩大集團歸為同一個,但像 MITRE 將他們分成兩個集團,即使它們都使用 Carbanak 後門程式 來發動攻擊。不過,這些團體不僅使用 Carbanak 後門程式,也使用其他類型的惡意程式,如 PoS 惡意程式 Pillowmint 以及另一個據稱應該是用來取代 Carbanak 的惡意程式 Tirion。
除此之外,MITRE 也點出了這兩大集團的主要攻擊目標:Carbanak 主要攻擊銀行機構,FIN7 則是專門攻擊食品、醫療與零售業。
今年的 MITRE Engenuity ATT&CK Evaluations 測試結果在本週出爐,今年的測試主要模擬 Carbanak 和 FIN7 的攻擊,本文也說明了趨勢科技解決方案如何解決這些威脅。
為了提供有關 Carbanak 和 FIN7 攻擊事件的更多背景資訊,我們整理了過去有關這兩大集團的一些研究報告,而 MITRE 也列舉了這兩大集團的 ATT&CK 手法與技巧 (總共 65 項techniques,涵蓋 11 項tactics)。
根據我們對 過去另一起相關攻擊的研究顯示,駭客習慣利用 魚叉式網路釣魚來入侵系統。一旦駭入系統之後,再透過 Windows 內建的動態資料交換 (DDE) 功能與合法的雲端服務來散播勒索病毒,或建立幕後操縱 (C&C) 通訊。
9 月 16 日美國司法部宣布將起訴五名中國人民 ,他們涉嫌駭入美國境內及海外超過 100 家機構。其攻擊目標遍布各種產業,從電玩遊戲公司、電信業者,到大學與非營利機構。這五名嫌犯據稱與 APT41 駭客集團有所關聯。今年五月,趨勢科技才發現專門以資料庫和郵件伺服器為加密目標的 APT41集團涉及某些針對台灣企業的勒索病毒攻擊, 也使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。截稿前為止,他們仍在逃亡,但已有兩名馬來西亞人民因協助這批駭客而遭到逮捕。
從美國司法部所公布的三份起訴書可看出該集團的惡意活動類型相當廣泛,例如虛擬加密貨幣挖礦( coinmining )與勒索病毒Ransomware (勒索軟體/綁架病毒)攻擊。大部分的活動大多是為了牟利,但也有少部分是間諜活動。
司法部官員表示,該集團在成功入侵之後,會竊取原始程式碼、客戶帳戶資料,以及個人身分識別資訊 (PII)。其他重要犯罪行為還有:修改遊戲內物品數量來詐騙遊戲公司、使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。
駭客所使用的多是公開的漏洞攻擊手法與常見的漏洞,詳細資訊可參考官方報告。此外,也運用精密的駭客手法來駭入並常駐於受害者的電腦網路內。官方報告描述了該集團如何運用「供應鏈攻擊」手法,他們會先駭入軟體供應商,然後再修改他們提供給客戶的程式碼。這樣歹徒就能駭入廠商的客戶,進一步拓展勢力範圍。
這已經不是第一次 APT41 駭客集團受到嚴密的關注,該集團早已活躍好一陣子。今年五月,趨勢科技才發現該集團涉及了某些針對台灣企業的勒索病毒攻擊。這個我們命名為「ColdLock」的新勒索病毒家族,專門以資料庫和郵件伺服器為加密目標,所以破壞力不容小覷。
繼續閱讀四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心(NCSC)等單位公布的資安研究報告,指出以發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊)惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。
向來以魚叉式釣魚攻擊(SPEAR PHISHING)來攻擊目標企業或政府機關的 APT10,這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商(Managed IT Service Providers,MSPs)間接入侵目標攻擊的對象,該攻擊行動被命名為「Cloud Hopper」。
攻擊行動一旦入侵一家MSP,就可能獲得數千家的潛在攻擊對象,根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。
本文將分享為了持續躲在受感染的系統當中,駭客做了哪些布局?
為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?
資安研究人員最近發現了一波影響範圍極廣的網路間諜行動,其背後是一個名為「APT10」的駭客集團 (又名:MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider,簡稱 MSP),但這只不過是個跳板,其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。
該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構,但最近也蔓延到以下地區的 MSP:英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。 繼續閱讀