大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板

四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心(NCSC)等單位公布的資安研究報告,指出以發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊)惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。
向來以魚叉式釣魚攻擊(SPEAR PHISHING)來攻擊目標企業或政府機關的 APT10,這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商(Managed IT Service Providers,MSPs)間接入侵目標攻擊的對象,該攻擊行動被命名為「Cloud Hopper」。
攻擊行動一旦入侵一家MSP,就可能獲得數千家的潛在攻擊對象,根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。
本文將分享為了持續躲在受感染的系統當中,駭客做了哪些布局?
為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?

關於 Cloud Hopper 攻擊行動,企業該如何防範?

資安研究人員最近發現了一波影響範圍極廣的網路間諜行動,其背後是一個名為「APT10」的駭客集團 (又名:MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider,簡稱 MSP),但這只不過是個跳板,其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。

受害對象已延伸到亞洲

該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構,但最近也蔓延到以下地區的 MSP:英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。 Continue reading “大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板”

【 資安語錄 】「世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」

美國聯邦調查局局長James Comey說: 世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」

企業遭 APT 攻擊,平均被駭 559天才發現

趨勢科技台灣暨香港區總經理洪偉淦表示「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)很難防堵,趨勢科技做了300多件 APT攻擊案件調查,統計之後,發現客戶平均經過 559天,才會發覺情況有異請趨勢科技協助調查,也就是駭客進到家中已經偷了快兩年資料才會被發現。其中有件案例是發生在醫院,被勒索的還好是帳務系統,想想看如果是維生系統,就是人命問題了。

洪偉淦建議,企業在資安方面的投資,不能只著重在不讓人進來,因為員工、漏洞等實在太多。而是要提升危機能見度,及早發現,並事先準備好應對方案,發現狀況後先做隔離,再請顧問進入評估,減少傷害。

 

 

 

 

⊙延伸閱讀:Facebook 執行長做的這件事,FBI 局長 James Comey 也這樣做

今年四月美國聯邦調查局長康梅( James Comey )在演講時表示,他會把筆電上的視訊鏡頭用不透明膠帶貼起來,以防電腦被駭客入侵、行蹤被偷窺。 Continue reading “【 資安語錄 】「世界上大型企業分兩種:一種是已經被駭客入侵,另一種則是被入侵卻渾然不知的公司。」”

勒索病毒侵台居亞洲第二,僅次日本

APT 攻擊猖獗,資安組織戰考驗企業資安戰力 掌握資安主控權,以「人」為核心,三大重點建立強大資安防禦

【台北訊】全球資安領導品牌趨勢科技,今日(25)舉辦資安界年度盛會-CLOUDSEC 2016雲端企業資安高峰論壇,面對全球資安危機,趨勢科技台灣暨香港區總經理洪偉淦現身分享台灣資安環境現況及未來趨勢,首度來台的趨勢科技網路安全策略總裁Eduardo E. Cabrera強調以「人」為企業內部資安防護核心之重要性,及資安防禦三大重點:建立資安防護策略與規範、資安事件偵測與即時監控機制建立、成立事件應變小組並打造事件處理SOP。會中同步邀請到全球頂尖資安顧問美國聯邦調查局(FBI)督導特別探員(SSA) Timothy Wallach分享全球資安犯罪情勢,協助企業打造最完善的資安防禦策略藍圖,掌握資安主控權!

圖說:趨勢科技CLOUDSEC 2016媒體分享會,邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會
圖說:趨勢科技CLOUDSEC 2016媒體分享會,邀請到全球頂尖資安顧問趨勢科技網路安全策略總裁Eduardo E. Cabrera、趨勢科技台灣暨香港區總經理洪偉淦及美國聯邦調查局(FBI)督導特別探員(SSA)Timothy Wallach與會

台灣偵測到的勒索病毒高達2百多萬!為全亞洲第二高,僅次日本

雲端服務、行動裝置與物聯網等科技進步,使全球資安威脅層出不窮。根據趨勢科技偵測統計報告指出註1,每5分鐘至少攔截到80萬個惡意網址、垃圾郵件或惡意軟體產生,更有1,800個新的網路威脅產生並散佈到網域中,整體資安環境面臨巨大挑戰!趨勢科技觀察,近年猖獗的網路駭客已逐漸運用勒索病毒 Ransomware (勒索軟體/綁架病毒)針對企業進行攻擊,以謀得較高的勒索利潤。根據趨勢科技研究報告顯示註2,截至2016年第二季,台灣地區所偵測到的勒索病毒便高達2百多萬!為全亞洲第二高,僅次於日本。 Continue reading “勒索病毒侵台居亞洲第二,僅次日本”

著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊

從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。IXESHE 駭客組織自台灣新政府520上任以來就開始進行密集的攻擊。從其所使用的釣魚信件來看,可以發現攻擊者對於台灣政府的組織架構及輿情相當熟捻,不停利用最新的熱門話題來製作釣魚信件
趨勢科技根據對其所使用的惡意後門程式所進行的分析,攻擊者從製造惡意程式,製作社交工程文件到送抵目標只需要5小時,也使得傳統進行特徵碼比對的防毒解決方案難以有效的偵測及封鎖。

IXESHE是著名的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)駭客組織,從2009年開始就頻繁地進行網路間諜活動,主要針對東亞的各國政府、電子廠商和一家德國電信公司。其他目標還包括了G20的政府官員以及紐約時報。趨勢科技一直都在密切注意這個駭客組織(IXESHE)所進行的針對性攻擊/鎖定目標攻擊(Targeted attack )攻擊活動,也在2012年推出了技術白皮書來詳述 IXESHE所用的手法及攻擊特徵。IXESHE也曾在2013年及2016年涉及針對北美傳播媒體產業及高科技產業的針對性攻擊。

[延伸閱讀:IXESHE白皮書]

台灣自2009年以來就一直是IXESHE的攻擊目標,而最新的一波攻擊也更新了其所使用的後門工具及通訊模式,同時利用最新的熱門話題(包括南海仲裁案、尼伯特風災和雄三飛彈誤射事件)來透過魚叉式網路釣魚 (Spear Phishing )信件攻擊鎖定的受害者。

 IXESHE 的 C&C 伺服器主要分布在台灣和美國
IXESHE 的 C&C 伺服器主要分布在台灣和美國(資ˋ料來源:IXESHE白皮書)

 

 

精心設計的社交工程誘餌

最新的這一波攻擊從2016年五月開始就進行密擊的攻擊,不停的利用最新熱門話題作為誘餌。從520就職到南海仲裁案一直到雄三飛彈誤射事件和尼伯特風災都成為攻擊者用來製造魚叉式網路釣魚 (Spear Phishing )誘餌的素材。 

圖1、利用雄三飛彈誤射案作為誘餌的魚叉式網路釣魚信件截圖
圖1、利用雄三飛彈誤射案作為誘餌的魚叉式網路釣魚信件截圖

 

這些精心製作的魚叉式網路釣魚信件不僅僅是利用了熱門話題。其所夾帶的釣魚文件在內容及檔案屬性等細節上也都相當考究,讓人難以分辨真假。而且這些文件所用上的各層級官員姓名、手機號碼等資訊也讓人驚訝於IXESHE對台灣新政府掌握的精細程度。

圖2 釣魚文件截圖 
圖2 釣魚文件截圖
圖3、釣魚文件截圖 
圖3、釣魚文件截圖

 

Continue reading “著名的APT駭客攻擊組織IXESHE,對台灣的新一波攻擊”

採礦業面臨的網路威脅

檢視研究報告:「採礦業面臨的網路威脅」(Cyber Threats to the Mining Industry)
檢視研究報告:「採礦業面臨的網路威脅」(Cyber Threats to the Mining Industry)

 

由於今日全球市場對於大宗物資及商品的激烈爭奪,而且經濟發展皆需仰賴天然資源,再加上近來氣候極端變化,使得採礦業開始成為網路間諜活動的目標,甚至極端一點,成為破壞性或毀滅性網路攻擊的目標。這類網路間諜活動的目標在於取得最新的科技知識和情報,以便能在全球經濟市場當中維持競爭優勢與地位。

歹徒看上了採礦業在全球供應鏈上的戰略地位,使得該產業開始面臨網路攻擊的威脅。這類威脅不僅具備相當高的針對性,而且經過精密的計畫,其幕後的駭客團體也包羅萬象,從駭客激進團體、敵對國家,到有組織的犯罪集團。這些駭客已學會如何利用礦物天然資源在區域和全球供應鏈以及國家經濟當中所扮演的重要角色,並且知道如何攻擊礦業公司因極度仰賴整合性自動化系統所暴露的漏洞。

針對不同產業的網路攻擊

今日,各種產業遭到網路攻擊的新聞已經司空見慣,就像日常播報的資料外洩新聞一樣。進階持續性滲透攻擊 (APT)原本只是純粹的產業間諜行動 (如 BlackEnergy),現在卻已演變成可能造成實體破壞的攻擊與毀滅行動。研究人員發現,BlackEnergy 和另一個名為 Sandworm 的 APT 行動似乎是 2015 年 12 月烏克蘭兩座發電廠大斷電幕後的元凶。此外,BlackEnergy 和 KillDisk 亦曾試圖針對一家礦業公司和一家大型鐵路公司發動類似攻擊,同樣也是位於烏克蘭。這顯示 BlackEnergy 已有能力從能源產業跨足到其他產業。

 

產業、攻擊行動、惡意程式和幕後操縱 (C&C) 伺服器之間的交集。

 

產業為何會遭到攻擊?

網路攻擊並非單純只是 IT 的問題,而是可能對企業日常營運造成深遠的影響:營運中斷、設備損壞、商譽受損、財物損失、智慧財產權損失、競爭力損失、健康與人身安全風險等等。今日網路犯罪集團覬覦的目標不是只有錢和財務資料而已,他們不論在技術能力和犯罪手法上都有長足的進展,而且越來越曉得竊取敏感資料的價值所在,以及如何利用這些資料來賺錢並操弄商業的運作。例如,某個團體從 100 多家公司竊取到市場敏感的資訊,另一個團體從金融新聞媒體竊取到產品的上市前資訊,然後兩個團體彼此交換竊取到的資訊,這樣就能從股票市場獲利。 Continue reading “採礦業面臨的網路威脅”

Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列

Pawn Storm 攻擊行動重點摘要與最新發展

Pawn Storm 是一項又深又廣的持續性網路間諜行動。它曾攻擊北大西洋公約 (NATO) 會員國與美國白宮等政府機關,也曾鎖定烏克蘭和俄羅斯的一些知名政治人物,而且我們相信,歹徒的總部就位於俄羅斯。去年十月趨勢科技即曾經發表過有關 Pawn Storm 的研究報告:Pawn Storm 攻擊行動:利用轉移注意力來躲避偵測 (Operation Pawn Storm: Using Decoys to Evade Detection),自此我們便一直持續監控及追蹤該行動的最新發展。

本文介紹有關該行動的最新發展,同時也提供一些背景資訊讓還不熟悉該行動的讀者進入狀況。

什麼是 Pawn Storm 攻擊行動?

Pawn Storm 是一項至今仍相當活躍的政治經濟網路間諜行動,專門鎖定一些知名機構和人士,從政府機關到媒體名人皆在攻擊之列。其最早的活動出現於2007 年,但直到最近,我們才掌握有關該行動的一些具體資料,包括其攻擊目標和攻擊來源。

它和其他網路間諜團體/行動有何不同之處?

Pawn Storm 在攻擊手法上和其他以政治為動機的駭客團體有明顯不同,例如:

  • 使用挾帶 SEDNIT/Sofacy 惡意程式的魚叉式網路釣魚(Phishing)郵件來攻擊 Windows系統,或挾帶 Fysbis 或 X-Agent 惡意程式來攻擊 Linux 系統。其魚叉式網路釣魚郵件有時會使用一些當地的材料或話題來吸引收件人開啟郵件。SEDNIT 是一個擁有後門和資訊竊取行為的惡意程式。
  • 假冒企業的 OWA 登入網頁來從事魚叉式網路釣魚郵件攻擊。其某個魚叉式網路釣魚(Phishing)魚郵件的變種會將使用者重導致假冒的 Outlook Web Access (OWA) 登入網頁,藉此竊取使用者的登入帳號密碼。此一攻擊手法的眾多受害者當中,美國國防承包商 ACADEMI (前 Blackwater 公司) 也名列其中。
  • 利用自製的 iOS 惡意程式從事間諜活動。此 iOS 惡意程式就是趨勢科技所偵測到的 IOS_XAGENT.A 或 IOS_XAGENT.B,可從受感染的行動裝置竊取各種資訊,例如:訊息、通訊錄、定位資訊、照片,甚至錄音檔。

Continue reading “Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列”

Pawn Storm 間諜行動曝光:政治人物,搖滾歌手,藝術家成為攻擊目標

Pawn Storm 這個活躍已久的網路間諜行動為何看上俄羅斯的龐克搖滾樂團?的確,Pussy Riot (暴動小貓) 是個具爭議性的樂團,這個由女性主義者成立的樂團,其成員不久前才因觸犯基督教東正教會和俄羅斯教長制度的言論而入獄。但駭客為何會對她們有興趣?她們和其他被攻擊的對象有何關聯?

今年年初,我們曾經報導過 Pawn Storm 攻擊行動攻擊了北大西洋公約組織 (NATO) 會員國、美國白宮以及德國國會。不久前,他們又鎖定了駐紮在多個國家的大使館和軍事官員。Pawn Storm 的攻擊目標多為俄羅斯境外的政治單位,但根據趨勢科技的分析發現,實際上仍可有不少目標其實是位於該國境內。

間諜軟體

俄羅斯境內的間諜活動

Pawn Storm 行動幕後的俄羅斯間諜顯然對國內外是一視同仁,他們甚至也監控自己的人民。例如,針對俄羅斯國民的帳號登入資訊網路釣行動,就是一個本國境內間諜行動的案例。圖 1 顯示該行動攻擊目標在不同產業的分布情形。

圖 1:俄羅斯境內攻擊目標的產業/市場分布。

Continue reading “Pawn Storm 間諜行動曝光:政治人物,搖滾歌手,藝術家成為攻擊目標”

數據會說話:產業測試的真相

如同任何分析評比一樣,NSS Labs 最新一份入侵偵測系統 (Breach Detection System,簡稱 BDS) 評比測試所提供的並不只有分數、偵測率及整體持有成本 (TCO) 等數據而已。經由透明公開的評比測試,不論現有客戶、合作夥伴、潛在客戶,或是產業和金融分析師,都能獲得公正公開的參考資訊。

簡單講,NSS Labs 最新的 BDS 測試呈現的是:

NSS Labs BDS 這類公開測試很單純地卸下了產品的神秘面紗,為決策者提供更可靠的參考依據。任何需要採購入侵偵測系統的人,都能經由這樣的分析來形成自己的想法,並且擬定一套策略來因應 APT 的挑戰。

大家都同意,對付APT攻擊並無所謂的萬靈丹。在這樣的情況下,最好的作法就是根據您網路的實際狀況來評估及挑選一套適合您的解決方案。

比方說,能在 NSS Labs 之類的產業測試當中取得優異成績,就是偵測能力和解決方案價值的重要指標。不過,當您在將某家產品列入候選名單之前,您務必要了解測試的背景。也就是說,NSS Labs 測試結果僅代表當時的狀況,同時也取決於測試方法所蒐集到的進階惡意程式類型與攻擊手法。正因如此,我們很高興 NSS Labs 採取了一種開放、透明的測試程序從網路上蒐集實際的攻擊樣本,因為這些都是傳統或當今防毒技術無法立即偵測的。

很榮幸趨勢科技連續第二年榮獲「推薦」(Recommended) 的評價,而且是所有 NSS Labs 推薦的入侵偵測系統當中整體分數最高、最有成效的解決方案。

持續提供效能優異而穩健的解決方案,是我們對客戶的承諾,也是一切行動的基石。NSS Labs 的 BDS 測試結果證明我們已經履行了承諾,而我們的整個團隊也都為這樣的成果感到驕傲。

如需更多有關為何您應該將趨勢科技 Deep Discovery 列入考慮,以及美國芝加哥 Rush University Medical Center 醫療中心如何發揮該產品的動態偵測能力,請看這裡

 

原文出處: Just the Facts – The Truth About Industry Tests作者:Bob Corson
▍想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 ▍

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

 

 

Flash的威脅:不只是在瀏覽器

Flash目前也在瀏覽器之外的地方受到攻擊。這個「發現」來自於 Hacking Team 資料外洩趨勢科技注意到這些零時差漏洞中的 CVE-2015-5119一直被用在APT攻擊。包含偽裝成來自台灣政府的電子郵件…..

七月對Adobe Flash Player安全來說是很糟糕的一個月。出現了三個零時差漏洞(都來自 Hacking Team 資料外洩流出的資料),讓許多人非常擔心Flash的安全性,也有許多人(包括本站)呼籲它要消失

不可免地,Adobe做出了些回應來提升Flash的安全性。最新版本的Flash(18.0.0.209)加入了許多攻擊緩解技術。這些是由Adobe和Google的Project Zero團隊一同開發。

新的攻擊緩解技術為:

  • <*>長度驗證 – 加入長度cookie到Vector緩衝區。如果漏洞攻擊碼覆寫Vector長度,cookie檢查會失敗。因為今天的每一個Flash漏洞攻擊碼都會覆寫Vector長度,這方法可以增加Flash漏洞攻擊碼開發的難度,甚至能阻止尚未公開的零時差攻擊。

增加cookie長度檢查之後,攻擊者需要有兩個漏洞來進行攻擊 – 一個洩漏cookie長度,另一個覆寫長度。也可以使用既能洩漏和覆寫該位置的單一漏洞,但這種漏洞很少見。

  • <uint>緩衝堆積分區 – 這解決方法讓洩漏cookie和覆寫長度更加困難。現在需要特定的漏洞而非一般的資料洩露和覆寫漏洞。
  • Flash堆積更強大的隨機能力 – 這緩解機制讓洩漏cookie和覆寫vector長度更加困難,因為堆積佈局比以前更難預測。

Continue reading “Flash的威脅:不只是在瀏覽器”