本文介紹一起針對 Alibaba Cloud (阿里雲) OSS bucket的惡意攻擊,此攻擊使用外洩的登入憑證來散布惡意程式並暗中挖礦。
先前我們介紹過駭客如何利用組態設定錯誤、或是利用強度太弱的密碼或惡意程式搜刮到的登入憑證來駭入 Huawei Cloud (華為雲) 等雲端環境並安裝虛擬加密貨幣挖礦惡意程式。
這一次,我們發現了一起駭客攻擊使用 Alibaba Cloud 的物件儲存服務 (OSS) 來散布惡意程式並從事虛擬加密貨幣挖礦。OSS 是一種可讓 Alibaba Cloud 客戶將網站應用程式的圖片和備份資訊等等儲存在雲端的服務。不幸的是,這已經不是第一次我們發現專門攻擊 Alibaba Cloud 的駭客,今年稍早我們也介紹過駭客停用了 Alibaba Cloud 的某些功能以便能暗中挖礦。
繼續閱讀
Powload 在資安威脅領域歷久不衰,代表它一直在推陳出新。事實上,巨集惡意程式數量在 2018 上半年之所以突然暴增,就是因為當時 Powload 正透過垃圾郵件大量散布。Powload 是 2018 年北美地區最猖獗的威脅之一,它會利用各種技巧在系統植入惡意程式,例如 Emotet、Bebloh、Ursnif 等資訊竊取程式。趨勢科技偵測到Powload 的數量以及我們 2018 年所分析的相關案例/,都較 2017 年顯著增加。另一方面,Powload 在技巧上不斷演進,也顯示它可能還要持續發揮惡勢力一陣子。儘管它的散布管道依然是經由垃圾郵件,但它卻會運用不同技巧在系統上植入惡意程式,包括:避開文件預覽模式、使用無檔案式技巧以及駭入電子郵件帳號等等。
圖 1:趨勢科技 Smart
Protection Network™ 的偵測數據 (左) 以及我們已分析的非重複 Powload 樣本案例/案件數量。
我們在近期所見到的 Powload 相關案件中發現,其垃圾郵件所使用的附件檔案開始出現明顯變化,包括使用圖像隱碼術 (steganography) 以及鎖定特定國家。圖 2 說明了這樣的變化,例如,我們 2018 年早期分析到的樣本在感染程序方面較為單純直接,而新的手法則是多了一道手續來躲避偵測。
繼續閱讀趨勢科技發現一波垃圾郵件攻擊,使用 BEBLOH 金融木馬程式來鎖定使用者,我們偵測到的 185,902 封垃圾郵件,其中超過 90% 的目標是日語使用者。這次攻擊行動似乎是從 Cutwail 殭屍網站發動,非常類似於近期的垃圾郵件攻擊中,濫用網際網路查詢檔案 (IQY) 和 PowerShell 來散布 BEBLOH 和 URSNIF 金融惡意軟體的情況。
我們分析部分垃圾郵件後發現,BEBLOH 會從命令及控制 (C&C) 伺服器擷取 URSNIF 惡意軟體。先前的垃圾郵件攻擊行動顯示,同時散布 BEBLOH 和 URSNIF 是常見的手法。據 Crowdstrike 報導,這次攻擊行動是由 NARWHAL SPIDER 發動,使用了圖像隱碼術,把惡意代碼隱藏在意想不到的圖像媒體中,藉此躲避特徵碼比對偵測。
【延伸閱讀 】:圖像隱碼術(Steganography)與惡意程式:原理和方法
圖 1:垃圾郵件攻擊行動感染鏈
網路間諜集團REDBALDKNIGHT (亦稱為 BRONZE BUTLER 和 Tick)專門鎖定日本企業機構,包括公家機關 (如國防單位) 及生技、電子製造、化工等產業。該集團習慣使用「Daserf」後門程式 (趨勢科技命名為 BKDR_DASERF,亦稱為 Muirim 和 Nioupale),主要具備四種功能:執行命令列指令、下載和上傳資料、擷取螢幕畫面、側錄鍵盤輸入。
不過,根據趨勢科技最近的監控顯示,歹徒不只利用 Daserf 的變種來監控日本與南韓企業機構,其蹤跡甚至已延伸到俄羅斯、新加坡和中國。而且我們也發現各種不同版本的 Daserf 會使用不同的技巧及圖像隱碼術 (steganography),也就是將程式碼暗藏在令人料想不到的地方 (如圖片當中),因此更不易被察覺。
如同許多網路間諜行動一樣,REDBALDKNIGHT 集團的攻擊雖然斷斷續續,卻持續很久。事實上,REDBALDKNIGHT 集團早在 2008 年起便一直鎖定日本企業和機構,至少從他們所寄給攻擊目標的誘餌文件日期來看是如此。其攻擊目標相當特定,這一點從其社交工程(social engineering )技巧即可看出。REDBALDKNIGHT 集團攻擊行動當中使用的誘餌文件,日文非常流利,而且是使用日本的文書處理軟體「一太郎」(Ichitaro) 所撰寫。例如其中一個誘餌文件內容是「平成 20 年年度防災計畫」。
圖 1:REDBALDKNIGHT 寄給日本攻擊目標的誘餌文件內容屬性。
圖 2:REDBALDKNIGHT 所使用的誘餌文件樣本,歹徒在魚叉式網路釣魚電子郵件使用「防災計畫」為標題來引誘受害者上當。
以「心肺復甦術 (CPR)」、「防災計畫」等信件標題為誘餌
REDBALDKNIGHT 的攻擊行動一開始通常使用魚叉式釣魚攻擊(SPEAR PHISHING)來尋找破口。其附件檔案會攻擊一太郎文書處理軟體的漏洞。這些文件是該集團用來轉移注意力的誘餌,以便能夠在背後暗中執行惡意程式,他們會以「心肺復甦術 (CPR)」、「防災計畫」等標題為社交工程誘餌。 繼續閱讀
能夠躲避偵測的威脅,是今日所面臨最危險的威脅。而那些最令人頭痛的資安問題也都具備這樣的特性,例如「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊) 和零時差漏洞攻擊。駭客只要能不被發現,就能立於不敗之地,也因此,這項能力一直是他們不斷追求的目標。在這一系列的部落格文章當中,趨勢科技將探討網路犯罪集團用來躲避偵測及分析的技巧。
在第一篇當中,我們首先將介紹所謂的圖像隱碼術 (Steganography),我們將說明何謂隱寫術,以及今日惡意軟體如何利用這項技術。希臘文中的 steganos 一詞代表隱藏的意思,而惡意程式就是喜歡偷偷暗藏東西。對於駭客來說,這真是天上掉下來的禮物。
當然,隱寫術也能應用在真實生活當中。例如將秘密訊息暗藏在特別的地方 (下文就是一篇有趣的例子),不過,此處我們要討論的是資料檔案,以及歹徒如何利用這些檔案。
圖 1:當年的加州州長阿諾史瓦辛格回覆加州議會的信函,解釋為何他在某議員於演講中羞辱他之後否決了議會的一項決議。其實這是一篇藏頭文,只要將正文的每一行第一個字圈出來就會看到隱藏的訊息:I Fuck You.