apt 社交工程信件 - 資安趨勢部落格

《APT 攻擊》91％的目標攻擊利用電子郵件作為進入點

2014 年 07 月 14 日2015 年 07 月 08 日趨勢科技 TrendMicro

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;
一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;
996 名公僕因為一封標題為「李宗瑞影片，趕快下載呦！」信件, 好奇點閱中了資安陷阱;

Ponemon的研究計算出一次目標攻擊的平均成本是嚇人的 580萬美元也就不令人驚訝了，光是從EMC和Target事件所看到的成本就是10倍以上了。

APT目標標攻擊通常會先充分研究過並以相關的電子郵件形式出現，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

阻止電子郵件目標攻擊：移除攻擊者最容易進入的路徑

「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）是今日企業所面臨的最大威脅之一。一場完美風暴已然形成。結合了世界各地具備創造力和靈活力的網路犯罪分子；進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力；加上傳統的安全防禦並無法偵測未曾見過的威脅，都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件，像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

從此一問題延伸開來，根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，最近Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。

公司如果不能真正解決針對性電子郵件攻擊的問題，付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響，包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。所以最近Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了，光是我們從 EMC和 Target事件所看到的成本就是10倍以上了。

建立對未知的能見度

IT安全專家所面臨的問題是，目前的電子郵件安全閘道對於嵌入在郵件附檔的進階惡意軟體和郵件內嵌網址沒有識別能力。事實是，它們沒有能力解決這個問題。

原因是，APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

對組織來說，關鍵是讓攻擊者無法輕易地去侵入公司網路，不要讓電子郵件被當作切入點。

Deep Discovery Email Inspector解決針對性電子郵件攻擊

今日資源和預算都有限的現實環境下，解決問題必須透過加強現有投資來創造槓桿效應。資安也是一樣。考慮到這一點，趨勢科技發展出一套內部部署專用的解決方案，通過增強現有電子郵件安全閘道來解決針對性電子郵件攻擊問題。透過單一專用的設備，Deep Discovery Email Inspector無縫地跟你現有的電子郵件基礎設施整合。無需變動你現有電子郵件閘道或第三方安全工具的政策、管理或設定。根據趨勢科技TrendLabs的研究以及他們對APT攻擊和攻擊者行為的瞭解，利用各種特製演算法和專門偵測方式來偵測和封鎖含有可疑網址或嵌有進階惡意軟體之電子郵件附件的針對性電子郵件攻擊。

下面是阻止針對性電子郵件攻擊的解決方案還能做到的部分：

電子郵件信譽分析：利用趨勢科技主動式雲端截毒服務 Smart Protection Network來阻止已知可疑的電子郵件來源、網址和檔案。繼續閱讀

< APT 攻擊 > 利用微軟Word零時差漏洞,鎖定台灣政府機構發動攻擊(含社交工程信件樣本)

2014 年 05 月 21 日2015 年 01 月 08 日趨勢科技 TrendMicro

漏洞，特別是零時差漏洞，經常會被惡意份子用作目標攻擊的起始點。影響微軟Word的零時差（在當時）漏洞（CVE-2014-1761）就是一個例子。在三月所發佈的資安通報裡，微軟自己承認該漏洞被用在「有限的目標攻擊」裡。微軟因此在其四月的週二修補程式裡修補了此一漏洞。

然而，出現修補程式並不會嚇阻惡意份子去利用此漏洞。趨勢科技還是看到有APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊在他們的攻擊活動裡利用此一漏洞。

Taidoor連線:偽裝台灣政府部門和教育單位發出全國民調, 服貿議題被操作

我們看到了兩起針對台灣政府部門和一個教育單位的攻擊。第一起攻擊使用夾帶惡意附件檔的電子郵件，此郵件偽裝成來自政府員工。附件檔標題偽裝成一份全國性民調來增加說服力。此附件其實是被偵測為TROJ_ARTIEF.ZTBD-R的漏洞攻擊程式。它會產生被偵測為BKDR_SIMBOTDRP.ZTBD-R的檔案，接著再產生兩個檔案 – TROJ_SIMBOTLDR.ZTBD-R和TROJ_SIMBOTENC.ZTBD-R。這兩個檔案最後會導致被偵測為BKDR_SIMBOT.SMC的最終結果。

第二起APT攻擊的教育單位也是在台灣。此波攻擊利用電子郵件附加檔案來取得對收件者電腦和網路的存取能力。這封電子郵件討論了服貿議題，而附件檔和一個工作專案有些關係。跟第一個案例類似，此附件檔也是被偵測為TROJ_ARTIEF.ZTBD-PB的漏洞攻擊程式。它會產生一個被偵測為BKDR_SIMBOT.ZTBD-PB的後門程式。一旦執行，此一惡意軟體可以執行指令來搜尋欲竊取的檔案、取出檔案以獲利以及進行橫向移動。

我們已經確定這兩個攻擊跟Taidoor有關（一個自2009年就開始活躍的攻擊活動），因為網路流量結構類似。上述攻擊和之前的攻擊活動有著相同的特性，不管是目標、社交工程（social engineering ）誘餌以及使用（零時差漏洞）的技術。

後續的PlugX:偽裝成來自台灣某出版社的新書列表

另一起我們看到利用CVE-2014-1761的攻擊針對在台灣的郵件服務。就跟其他攻擊一樣，此一攻擊利用電子郵件附加檔案來進入網路。電子郵件附加檔案偽裝成來自一出版社的新書列表。這樣做是為了引起收件者的興趣。

此附件檔其實是偵測為TROJ_ARTIEF.ZTBD-A的漏洞攻擊程式，會產生被偵測為TROJ_PLUGXDRP.ZTBD的PlugX惡意軟體。它會產生被偵測為BKDR_PLUGX.ZTBD的惡意程式，此程式可以進行廣泛的資料竊取行為，包括：

複製，移動，重新命名，刪除檔案
建立目錄
建立文件
列舉檔案
執行檔案
取得磁碟資訊
取得檔案資訊
打開和修改檔案
記錄鍵盤活動和執行中視窗
列舉TCP和UDP連線
列舉網路資源
設定TCP連線狀態
鎖住工作站
登出使用者繼續閱讀

服貿議題成社交工程信件誘餌!!台灣爆發大規模APT威脅！近20家經濟相關機構成目標

2014 年 04 月 11 日2014 年 04 月 11 日趨勢科技 TrendMicro

趨勢科技第一時間攔截零時差攻擊

呼籲政府及企業儘速修補程式並進行APT 防護檢測

【2014年4月11日台北訊】全球雲端資安領導廠商趨勢科技，今日針對最新一波重大APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)事件發出警訊！根據趨勢科技APT調查小組第一時間的攔截報告，發現國際性駭客組織透過微軟RTF程式漏洞，針對台灣經濟相關的政府部會及企業，進行首波大規模目標性零時差攻擊！駭客利用主旨為與服貿等熱門議題有關的社交信件，夾帶後門程式以操控受害電腦，目前已知影響近20家台灣相關政府單位與企業！趨勢科技呼籲用戶，應儘快更新微軟MS14-017重大弱點修補，並立即進行APT資安防護檢測。

趨勢科技技術總監戴燊表示：「趨勢科技於昨(10)日發現，有駭客使用國際駭客組織慣用的惡意程式，利用微軟的RTF程式漏洞，專門針對台灣用戶的電腦進行零時差攻擊。駭客利用被感染電腦做跳板，發送以熱門新聞議題（例如服貿）為主旨的社交電子郵件，給台灣經濟相關的各政府單位及組織，信件夾帶後門程式HEUR_RTFEXP.A及HEUR_RTFMALFORM，用戶一旦開啟即被植入，駭客將可取得受害電腦的操控權為所欲為，例如竊取資密資料等。」

微軟公司在3/24日公佈此項RTF 弱點，趨勢科技APT解決方案於當天即偵測並攔載到惡意程式樣本，成功協助台灣與全球客戶在第一時間防禦此波APT威脅。趨勢科技更進一步發現，為了規避資安防護產品的偵測，駭客組織透過一個日本的網站為攻擊中繼站，以增加偵測的難度，但趨勢科技網頁信譽評等服務( Web reputation service, WRS）早已將此網站封鎖。

繼續閱讀

< APT 攻擊> 駭客跟你一樣關心「二代健保補充保險費扣繳辦法說明」–假冒健保局名義信件夾毒發送中!!(含信件樣本)

2013 年 05 月 02 日2015 年 06 月 08 日趨勢科技 TrendMicro

<更新>根據報導41 歲高中學歷嫌犯因為不爽被罰錢冒健保局散播電腦病毒,該嫌透過網路自學成為駭客，因不滿被健保局罰錢，冒用健保局名義，寄發內含竊取個資木馬的惡意郵件，至少已經竊取一萬多筆個資。該報導中還指出警另查出，潘嫌替友人組裝電腦，還暗中安裝木馬程式，用來監視友人上網情況

有心人士發動社交工程攻擊,冒用健保局散佈木馬與後門程式 ,意圖竊取個資

有心人士冒用健保局北區業務組名義，散發內含名為「二代健保補充保險費扣繳辦法說明」RAR壓縮檔的郵件。郵件主旨則為收件民眾姓名、公司電話，以及公司名稱。

有心人士發動社交工程攻擊　假冒健保局散佈木馬與後門程式意圖竊取個資

圖說：趨勢科技獨家取得有心人士冒用健保局名義發出的原始信件，

內容詳細提供各項連絡電話與方式，以取信收件者。

繼續閱讀

PlugX：客製化的遠端存取工具, 針對臺灣在內特定目標發動 APT 攻擊

2012 年 09 月 10 日2015 年 01 月 07 日趨勢科技 TrendMicro

2012年早些時候，一種被稱為Plugx（也被稱為 Korplug）的新型遠端存取工具（RAT）出現在真實世界中。PlugX，據報被用在有限的APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊裡，是專門為此類攻擊而客製化的遠端存取工具例子。

使用此新工具背後的想法很簡單：更少的可識性也更讓安全研究人員難以捉摸。然而，這並不代表這起攻擊是新的。趨勢科技的監測顯示使用 PlugX 的攻擊活動（至少）可以追朔至2008年2月。

該攻擊活動使用 Poison Ivy遠端存取工具，據報會針對在日本、中國和臺灣的特定使用者。這攻擊活動也是今年早些時候所發表的一起大型協同攻擊的一部分。關於它的起源，我們注意到PlugX主要散布到政府相關組織和一個位於日本的特定公司。

跟之前的Poison Ivy攻擊活動類似，它是透過魚叉式釣魚郵件的附件檔到達，可能是壓縮過的檔案或特製的文件檔來攻擊 Adobe Acrobat Reader或微軟 Office 的漏洞。我們還發現一起針對韓國網路公司和美國工程公司的 PlugX 案例。

Poison Ivy和PLUGX C&C伺服器：花開並蒂的關係

在我們的監視期間，我們最初看到一個PlugX變種會連到名為{封鎖}eo.flower-show.org的命令與控制（C&C）伺服器。根據歷史資料，我們確認這是個惡名昭彰的已知Poison Ivy C&C。使用{封鎖}eo.flower-show.org所解析出的IP地址，我們可以對應到數個C&C網域。這些C&C似乎都被Poison Ivy和PlugX變種所使用。

下面的關係圖顯示解析出的IP位址、C&C網域、遠端存取工具變種和這些遠端存取工具散播日期間的關係。注意到關於舊變種，我們使用的看見它們出現的最早日期。

在上圖中，我們可以看到雖然這起攻擊活動現在使用新的PlugX遠端存取工具，同時也還在繼續散播相對較久也更穩定的Poison Ivy變種。因為它的變體會植入除錯日誌到%System Root%\Documents and Settings\All Users\SxSbug.log，我們也懷疑PlugX可能仍在測試階段。此日誌檔記錄遠端存取工具程式碼內的可能錯誤，可能在之後上傳到攻擊者的C&C伺服器以作稽核用。

雖然為APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊開發客製化遠端存取工具並非新鮮事，我們可以看到PlugX的幕後黑手已經開始散佈其仍在測試中的遠端存取工具。這些惡意份子自2008年就已經存在，他們可能已經到達某種程度。很可能是在利用目標機器來改進他們的遠端存取木馬，以用在未來更加麻煩的攻擊活動中。

不幸的是，測試版遠端存取工具程式碼中的錯誤可能為攻擊者和任何被針對的組織導致意想不到的後果。例如，被存取的檔案可能非預期的損壞，造成大量的資料遺失。

趨勢科技的使用者受到主動式雲端截毒服務 Smart Protection Network的保護。特別是檔案信譽評比服務會偵測並刪除PlugX（BKDR_PLUGX和TROJ_PLUGX）和Poison Ivy（BDKR_POISON）變種。網頁信譽評比和電子郵件信譽評比服務會封鎖上述C&C和相關電子郵件。

＠原文出處：PlugX: New Tool For a Not So New Campaign作者：Roland Dela Paz（威脅研究員）