在本系列的最後一篇,我們將詳細探討 APT33 駭客集團並提供我們專家團隊的一些資安建議。
石油天然氣產業依舊是駭客集團的主要目標,駭客的目的是要造成營運中斷並帶來損害。上一篇 (中篇) 我們討論了各種可能衝擊石油天然氣產業的威脅,包括:勒索病毒(勒索軟體,Ransomware)、DNS 通道和零時差漏洞攻擊(zero-day attack)。接下來,在本系列的最後一篇,我們將探討 APT33 駭客集團這個被視為許多石油產業及相關供應鏈遭到魚叉式網路釣魚 (Spear Phishing )攻擊背後的元凶。最後,我們將提出一些有助於石油天然氣公司強化網路資安架構的建議。
趨勢科技分析了政治動機強烈的進階持續性滲透攻擊駭客集團 APT36 (亦稱 Earth Karkaddan) 最近的活動,並探討其所用的 CapraRAT (Android 遠端存取木馬程式) 與該集團最愛的 Windows 惡意程式 Crimson RAT 在設計上的明顯相似之處。
APT36 (亦稱 Earth Karkaddan) 是一個政治動機強烈的「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊) 集團,向來專門攻擊印度的軍事與外交目標。此 APT 集團有時也被稱為「Operation C-Major」、「PROJECTM」、 「Mythic Leopard」及「Transparent Tribe」,他們擅長利用社交工程與網路釣魚誘餌來入侵目標機構,成功之後然後再利用 Crimson RAT 惡意程式來竊取受害機構的資訊。
在 2021 年尾,我們看到該集團開始使用一個 Android 遠端存取木馬程式 (RAT) 叫作「CapraRAT」,其設計與該集團愛用的 Windows 惡意程式 Crimson RAT 明顯相似。兩者在函式名稱、指令與功能上都相當雷同,詳細內容請參閱我們的技術摘要報告「Earth Karkaddan APT」。
這份研究是根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網從 2020 年 1 月至 2021 年 9 月所蒐集到的資料。
TeamTNT 駭客集團經常竊取 Amazon Web Services (AWS)、Docker 與 Linux Secure Shell (SSH) 的登入憑證,此外也從事其它惡意活動,包括在 Linux 裝置上挖礦或植入後門程式 (如 IRC 殭屍程式與遠端指令列腳本)。不過,該集團的攻擊範圍當時仍是個謎。趨勢科技在分析該集團的活動時發現了一個二進位檔案內含一段寫死的指令列腳本 (shell script) 專門用來竊取 AWS 登入憑證,進而掌握了該集團的攻擊範圍。
隨著網路攻擊成為有力組織進攻武器庫內的常用手段,一個向潛在客戶提供網路攻擊服務、工具甚至培訓的產業已然發展起來。
主要業務仍是網路間諜和資料竊取的 Void Balaur是產能最高的網路傭兵之一,該組織的會在地下論壇或Probiv等網站販賣關於個人的高度敏感資料,對世界各地不同的部門和產業都發動過攻擊。
自2015年以來就一直活躍的Void Balaur主要從事網路間諜活動和資料竊盜,將竊取的資訊出售給任何願意付錢的人。在我們調查Void Balaur的活動時,發現該組織攻擊了超過3,500名受害者,其中有些人甚至持續地反覆遭受攻擊。
什麼是 「網路傭兵(cybermercenary)」?
隨著網路攻擊成為有力組織進攻武器庫內的常用手段,一個向潛在客戶提供網路攻擊服務、工具甚至培訓的產業已然發展起來。這產業內的主要參與者之一就是所謂的「網路傭兵(cybermercenary)」 – 顧名思義,這些人或團體為政府、犯罪組織甚至企業等客戶提供不同類型的網路產品和服務並收取費用。理論上,這些網路傭兵可用於非惡意目的,如幫助政府打擊恐怖主義和有組織犯罪。但事實是,他們的服務最終被用於針對客戶對手的攻擊。
網路犯罪分子們有著各種不同的動機:例如,有些駭客是為了進行破壞性政治攻擊,有些則可能更傾向於進行網路間諜活動或收集目標受害者資訊。當然,金錢仍是個強大的網路犯罪誘因 – 甚至可能是最常見的動機。有些網路犯罪份子(如勒索病毒 犯罪組織)能直接從網路攻擊中獲利。但有些人則更願意成為「網路傭兵(cybermercenary)」,出售服務給任何願意付錢的人。
Void Balaur是產能最高的網路傭兵之一,這是個講俄語的駭客組織,對世界各地不同的部門和產業都發動過攻擊。雖然Void Balaur提供各式各樣的服務,但該組織的主要業務仍是網路間諜和資料竊取,會在地下論壇或Probiv等網站販賣關於個人的高度敏感資料。
請閱讀今年的 MITRE Engenuity ATT&CK Evaluations 報告,該測試模擬當今兩大駭客集團 Carbanak 和 FIN7 的攻擊技巧來測試資安解決方案偵測及攔截進階持續性滲透攻擊 (APT) 與目標式攻擊的能力。
MITRE ATT&CK® 知識庫是一項極端珍貴的資源,可促進網路資安產業的整體進步與標準化。它為駭客攻擊方法提供了一種標準化的分析框架以及一套描述駭客攻擊行為的共通語言。
雖然 MITRE Engenuity 的測試結果並不提供任何分數、排名或評等,卻能讓企業清楚看見廠商如何協助客戶偵測駭客的攻擊,若再對照 ATT&CK 框架就能了解攻擊的完整過程。
資安團隊可利用 MITRE ATT&CK 框架來描述事件,有助於跨部會溝通資安問題。此外,MITRE ATT&CK 框架還可讓資安團隊更清楚掌握資安可視性,檢查企業的資安是否存在漏洞,了解自己有哪些地方可能遭到攻擊。然後再看各家廠商的測試結果,找出最能解決這些漏洞的產品。可視性的提升也能讓企業查看自己的防護是否有重疊的地方,進而做出適當調整讓成本最佳化。
儘管 MITRE ATT&CK 有這麼多好處,但它提供的是相當濃縮的資訊,而且不易理解和閱讀,所以我們才想要逐一拆解一下這份報告給大家看。
在我們深入討論每一階段的分析和重點之前,讀者首先需要了解今年模擬的攻擊情境。MITRE Engenuity ATT&CK Evaluations 測試基本上是模擬特定駭客團體的真實進階持續性滲透攻擊 (APT) 技巧與流程。今年的測試特別仿照當今擁有類似手法的兩大駭客集團:Carbanak (第一天) 和 FIN7 (第二天),全程共包含 174 項攻擊步驟。
MITRE Engenuity ATT&CK Evaluations 測試的是資安解決方案能否偵測到進行中的目標式攻擊。換句話說,有別於傳統測試,MITRE Engenuity 的重點在於資安產品能否偵測到駭客已經進到企業裡面。不過今年又多了一項選擇性測試,是針對產品能否攔截/防止攻擊,藉此驗證產品在偵測持續性威脅並從中攔截以防止損害進一步擴大的能力。