Pawn Storm - 資安趨勢部落格

網路間諜集團以紐約恐攻事件當誘餌

2017 年 11 月 14 日2017 年 11 月 14 日趨勢科技 TrendMicro

Pawn Storm 攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面，資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件，並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

根據報導指出，駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange，簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值，就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格：REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗，或者執行惡意程式碼，不再仰賴巨集功能。雖然這並非什麼新的技巧，但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯 Necurs 殭屍網路最近也開始使用這項技巧。

[延伸閱讀：網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外，近期也出現了大量的網路間諜及網路宣傳活動。例如，美國外交關係協會 (Council on Foreign Relations，簡稱 CFR) 今年至目前為止就遭遇了 26 次不同的攻擊行動。事實上，光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢，其中包括：

Keyboy：同樣也是利用 DDE 在系統植入資訊竊取程式。
Sowbug：專門攻擊南美和東南亞的外交使節團與外交政策機構。
OceanLotus/APT32：曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
ChessMaster：曾開發出新的工具和技巧來讓其活動更加隱密。
BlackOasis：使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式，專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念：越來越多利用 PowerShell 相關威脅該如何防範?]

對企業機構而言，這些案例都突顯出邊界防禦的重要：從閘道、網路、伺服器到端點裝置，因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施：繼續閱讀

登入憑證網路釣魚,網路間諜集團滲透企業基礎架構的跳板

2017 年 06 月 08 日2017 年 06 月 16 日趨勢科技 TrendMicro

拼字和文法上的錯誤、看似不尋常的網址，瀏覽器上沒有顯示加密連線的圖案，這些都是使用者分辨網路釣魚詐騙的蛛絲馬跡。不過像 Pawn Storm 這類專業網路駭客，通常擁有充沛的資源和豐富的經驗，因此不會犯下這種明顯的錯誤。不僅如此，他們會想出一些非常聰明的社交工程（social engineering ）技巧來避人耳目。這些專業駭客所散發的網路釣魚郵件，不論使用哪一種語言，其文字都非常完美且流暢，而且能夠輕易躲過垃圾郵件過濾或其他資安軟體的掃瞄。基本上，登入憑證網路釣魚詐騙已經成為歹徒非常有效且危險的工具，可能導致企業敏感資料遭駭客外洩或損毀，甚至被拿來向企業勒索。

Pawn Storm 又名：Sednit5、Fancy Bear、APT28、Sofacy 以及 STRONTIUM8，這些名字聽起來很像 Instagram 帳號、機密間諜行動，或是剛剛通過的法案，但其實他們都是指同一個網路間諜集團。該集團為了達到目的，通常會從各種不同角度、利用各種不同手法來攻擊同一目標，其攻擊技巧經常屢試不爽，尤其是網路釣魚（Phishing）攻擊。

Pawn Storm頻繁利用不同的網路釣魚手法來騙取帳號登入資訊，趨勢科技的研究報告:「網路間諜與網路宣傳：檢視 Pawn Storm 過去兩年來的活動」介紹了三種該團體愛用的攻擊招術：繼續閱讀

回顧17 年來 Pawn Storm 遍及全球的網路間諜行動

2017 年 05 月 05 日2017 年 05 月 05 日趨勢科技 TrendMicro

趨勢科技的研究人員在最新一份有關 Pawn Storm (別名 APT28、Fancy Bear、Strontium 等等) 的報告當中，清楚披露了該網路間諜團體的活動範圍及規模。但更值得關注的是他們所使用伎倆。根據我們的觀察，其行動最遠可追溯至 17 年前，主要攻擊目標為政府、軍事、媒體以及政治機構，足跡遍布全球。此外，報告中也指出近兩年來該團體已開始將重心移轉至網路宣傳，而且光 2016 年就成長了 400%。

Pawn Storm 的發展史

根據我們的研究，Pawn Storm 行動最遠可追溯至 2004 年，但趨勢科技的第一份相關報告 (同時也是業界發表的第一份有關該團體的報告) 卻是在 2014 年才出爐。不過從那時起，人們就開始知道該團體專門攻擊全球可能危害俄羅斯利益的大小機構。該團體透過情報的蒐集與精密的網路釣魚（Phishing）伎倆，成功襲擊了全球各類目標。

儘管該團體在美國大選期間出盡鋒頭，但其實他們過去三年來成功入侵了非常多機構：

2014 年 6 月 – 成功入侵波蘭政府網站。
2014 年 9 月 – 攻擊美國某大型核燃料經銷商，假冒該廠商的 Outlook Web Access (OWA) 登入網頁成功騙取其員工的帳號密碼。此外，也利用假冒的 OWA 登入網頁攻擊美國及歐洲的國防軍事機構。
2014 年 12 月 – 利用該月稍早入侵的美國某軍事機構聯絡窗口取得的帳號攻擊了美國某大型報社 55 名員工的公司帳號。
2015 年 1 月 – 利用假冒 Gmail 名義的網路釣魚攻擊三位高人氣 YouTube 部落客。這些攻擊都發生在部落客於白宮訪問美國總統歐巴馬四天之後。
2015 年 2 月 – 利用惡意的 iOS 應用程式從事間諜活動。此外也利用假冒的 OWA 網站攻擊北大西洋公約組織 (NATO) 駐烏克蘭聯絡官。
2015 年 4 月 – 攻擊 NATO 會員國及法國 TV5Monde 電視台，造成該電視台多個全球頻道中斷。
2015 年 7 月 – 趨勢科技發現該團體利用一個新的 Java 零時差漏洞發動攻擊。
2015 年 7 月 – 該團體將自己的某個幕後操縱 (C&C) 伺服器導向趨勢科技的 IP 位址。
2015 年 8 月 – 爆發國內間諜行動，目標鎖定一些俄羅斯異議份子、媒體、藝術家、軍事人員，甚至還有美國資深官員。
2015 年 9 月 – 架設假冒荷蘭安全局 (Dutch Safety Board) 的 SFTP (Secure File Transfer Protocol) 檔案傳輸伺服器，並製作假冒的 OWA 伺服器來攻擊荷蘭安全局負責馬航 MH17 空難事件的調查人員。
2015 年 10 月 – 趨勢科技發現歹徒利用 Adobe Flash 零時差漏洞搭配魚叉式網路釣魚郵件攻擊多個國家的外交部。

2016 年 Pawn Storm 仍繼續從事網路間諜行動，但手法卻出現兩項重大改變。雖然歹徒依舊持續不斷騙取重要鎖定目標的帳號密碼，而且次數更加頻繁，行動也更加堅決，但歹徒卻開始朝網路宣傳發展。根據該集團使用的網路釣魚網域可以看出，其主要對象已變成了政黨與媒體。繼續閱讀

激進駭客間諜團體 Pawn Storm 如何利用免費網站郵件服務,鎖定目標攻擊重要人士?

2017 年 05 月 05 日2017 年 05 月 05 日趨勢科技 TrendMicro

就算使用者變更了帳號密碼，歹徒的應用程式還是能夠存取該帳號，除非…..

Pawn Storm 利用 OAuth 開放認證機制從事進階社交工程詐騙

Pawn Storm 是一個從 2004 年活躍至今的激進駭客間諜團體。根據趨勢科技最新的研究顯示，該團體一直想盡各種辦法、盡各種手段來試圖從攻擊目標竊取重要資訊。他們最擅長也最令人擔憂的是利用網路釣魚（Phishing）來騙取帳號登入資訊。2016 年受害對象包括：美國民主黨全國代表大會 (Democratic National Convention，簡稱 DNC)、德國基督教民主黨 (Christian Democratic Union，簡稱 CDU)、土耳其國會和政府機關、蒙特內哥羅國會、世界反運動禁藥機構 (World Anti-Doping Agency，簡稱 WADA)、半島電視台 (Al Jazeera) 以及其他多家機構。

本文探討 Pawn Storm 如何利用開放驗證 (Open Authentication，簡稱 OAuth) 機制來從事進階社交工程詐騙。駭客在 2015 至 2016 年間攻擊了不少使用免費網站郵件服務的重要人士。

OAuth 如何遭到利用？

OAuth 是一種用來讓第三方應用程式登入使用者社群網站、遊戲網站、免費網站郵件等網路帳號的認證機制，此機制的好處是使用者不須提供自己的帳號密碼，而是提供一個可用來登入的認證碼 (token) 讓第三方應用程式使用。
繼續閱讀

盤點 2016 年全球針對政治團體的高調攻擊活動

2017 年 01 月 24 日2017 年 01 月 23 日趨勢科技 TrendMicro

縱觀歷史，具有政治動機的威脅份子會有意地影響輿論來達到自己的目的。而近來網際網路的普及也讓這些威脅分子拿到了新工具。他們不僅利用社群媒體來操弄新聞，散佈謠言和假新聞，同時也積極地入侵政黨團體。

政黨團體對這些想造成傷害的威脅分子來說是相對容易的目標。從本質上看，政黨團體必須要跟成員、媒體和公眾坦誠溝通。在忙亂的選舉期間，政黨團體也特別容易遭受間諜活動和網路攻擊，因為安全防禦措施在此時可能會被視為影響運作的累贅。但近來在2016年的事件顯示出安全防護對政黨團體來說有多重要。

2016年，至少有八起針對政治團體的高調攻擊活動

在2016年，我們至少看到八起針對政治團體的高調攻擊活動，發生在美國、德國、烏克蘭、土耳其和蒙特內哥羅等國家。這些攻擊不只是為了進行間諜活動，而是要積極地干預政治程序和影響公眾輿論。維基解密和主流媒體都被利用來讓廣大人民知道被針對政治團體所可能涉及的醜聞。竊取的資料被發布了，但資料真實性通常沒有經過證實。這讓威脅份子有空間來為了自身利益變造竊取資料，然後發表時假裝資料真實而沒有經過變動。而發布精心挑選而未經變造的資料可以讓威脅分子更好地影響公眾輿論，往有利他們利益的方向發展。

在2016年，據稱美國民主黨成為Pawn Storm的目標，這駭客團體已知曾對俄羅斯的個人和團體造成威脅。在2014年到2016年間，Pawn Storm至少對十數個國家的軍隊發動攻擊活動。Pawn Storm的活動顯示出地緣是國內外間諜活動和其產生影響的主要動機，而非金錢利益。

民主黨成員的電子郵件被竊是一個例子。這些電子郵件由維基解密和dcleaks[.]com流出，後者有可能是Pawn Storm所控制的網站。我們可以確認在2016年3月和4月，Pawn Storm對美國民主黨各高層成員的企業和免費網路郵箱發動一波積極的憑證網路釣魚攻擊活動。

在競選期間，數十名政界人士、民主黨全國委員會（DNC）工作人員、演說稿作者、資料分析師、前歐巴馬競選活動人員、希拉蕊競選活動人員，甚至是企業贊助者都曾被多次鎖定。我們知道是因為我們從2014年開始就一直在追蹤Pawn Storm的憑證網路釣魚攻擊活動。我們獲取對數以萬計網路釣魚網址的大量點擊統計資料，並曾在2015年發表對該資料的早期分析。

在2016年6月，趨勢科技發現一起針對民主黨國會競選委員會（DCCC）網站的嚴重駭客事件呈現和Pawn Storm駭客集團類似的行為模式。我們是此入侵事件的最早期發現者之一，並立即對美國當局披露。入侵問題在我們回報問題的數小時後就解決，DCCC網站也已經經過清理。

除了維基解密，威脅分子也試圖利用主流媒體來影響公眾輿論，並對政黨團體造成傷害

Pawn Storm利用主流媒體來讓普羅大眾知道他們的惡意攻擊已經有例可循。數家主流媒體已經證實它們被提供Pawn Storm竊取資料的獨家取得權。這顯示除了維基解密，威脅分子也試圖利用主流媒體來影響公眾輿論，並對政黨團體造成傷害。繼續閱讀