Watering hole - 資安趨勢部落格

在二月初，有多家金融機構通報出現惡意軟體感染，而且顯然來源是合法網站。這些攻擊以入侵受信任的網站來感染各產業內被鎖定企業的系統, 是大規模攻擊活動的一部分。這種策略通常被稱為「水坑（watering hole）」攻擊。

最近對波蘭銀行進行的連串惡意軟體攻擊，據報會在終端機跟伺服器上出現未知的惡意軟體，還有可疑、加密的程式/可執行檔，更加引人注意的是不尋常的網路活動。中毒系統會連到不尋常的位置，可能是要暗渡陳滄將入侵單位的機密資料送至該處。

趨勢科技發現備受關注的惡意軟體RATANKBA,不僅跟對波蘭銀行的惡意軟體攻擊有關，而且還涉及墨西哥、烏拉圭、英國和智利金融機構所發生的類似事件。它如何感染受害者？有沒有其他惡意軟體參與其中？這攻擊活動是否真的跟俄羅斯網路犯罪集團有關？不過根據我們在惡意軟體內所看到的俄文，我們認為這只是用來混淆攻擊者真面目的偽裝手法。

台灣也受到影響

銀行並不是唯一的目標；也有電信、管理諮詢、資訊技術、保險、航太、教育等企業受害。此外，攻擊活動並非僅局限於北美和歐洲，一些亞太地區，特別是台灣、香港和中國也受到影響。

在此提供進一步的分析和見解，可以補充其他關於此一威脅的研究。

圖1、關於RATANKBA的可能感染流程

繼續閱讀

隨著越來越多的個人資訊會提供給Facebook、Twitter、Microsoft和Apple，他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者，並會據此來制定攻擊計劃。

作者：Jonathan Leopando

最近，我們看到了許多科技業知名品牌（如Facebook、Twitter、Microsoft和Apple）都遭到水坑（Watering hole）。這些受影響公司的員工瀏覽了受歡迎的iOS開發論壇，因為它被入侵淪陷了，所以也讓使用者遭受當時仍未知的Java漏洞攻擊。

毫無疑問地，Java首當其衝地被認為要為此事件負責。The Verge的一個頭條新聞甚至要對Java「消失」。類似想法已經出現在許多安全專家的腦海裡，不管他們是不是會公開地說出來。

但…Java並不是唯一的問題。所有受影響的系統都是Mac（這很自然，因為是針對iOS開發者的論壇）。現在的重點都一直放在是如何攻擊（Java），而非目標（Mac）上。

攻擊者會嘗試去攻擊目標所使用的平台，不管是哪一種。在整個作業系統的市場裡，Apple的市佔率仍然比較低，但在某些圈子（如矽谷）的比例則高得多。而這些被鎖定的目標恰恰就是因為是Mac電腦的使用者而變得不再安全。攻擊者會客製化他們的攻擊以符合他們目標的狀況。在這起事件裡，攻擊者顯然是要透過水坑（Watering hole）攻擊來針對iOS開發者，這也說明了這起攻擊有過相當程度的規劃。

去年的Flashback事件強調了Mac使用者也有遭受惡意軟體攻擊的風險，而這起事件讓人了解到Mac使用者也會成為精心設計的目標攻擊(APT-進階持續性滲透攻擊)對象。Java只是這次攻擊的載體，但Mac使用者已經不再比其他使用者更加免疫於社交工程( Social Engineering)攻擊。

隨著越來越多的個人資訊會提供給這些網路公司，他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者，並會據此來制定攻擊計劃。

使用者可以透過跨平台防護的PC-cillin 2013雲端版來防護Mac OS平台上所有已知的威脅影響。

＠原文出處：Barking Up The Wrong Tree

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚