趨勢科技發現一波垃圾郵件攻擊,使用 BEBLOH 金融木馬程式來鎖定使用者,我們偵測到的 185,902 封垃圾郵件,其中超過 90% 的目標是日語使用者。這次攻擊行動似乎是從 Cutwail 殭屍網站發動,非常類似於近期的垃圾郵件攻擊中,濫用網際網路查詢檔案 (IQY) 和 PowerShell 來散布 BEBLOH 和 URSNIF 金融惡意軟體的情況。
我們分析部分垃圾郵件後發現,BEBLOH 會從命令及控制 (C&C) 伺服器擷取 URSNIF 惡意軟體。先前的垃圾郵件攻擊行動顯示,同時散布 BEBLOH 和 URSNIF 是常見的手法。據 Crowdstrike 報導,這次攻擊行動是由 NARWHAL SPIDER 發動,使用了圖像隱碼術,把惡意代碼隱藏在意想不到的圖像媒體中,藉此躲避特徵碼比對偵測。
【延伸閱讀 】:圖像隱碼術(Steganography)與惡意程式:原理和方法
圖 1:垃圾郵件攻擊行動感染鏈
趨勢科技最近發現有設定不當導致API端口暴露的Docker遭到惡意利用的案例。有惡意活動會掃描開放端口2375/TCP和2376/TCP,這些是Docker引擎服務(dockerd)所使用的端口。攻擊者接著將虛擬貨幣挖礦病毒(趨勢科技偵測為Coinminer.SH.MALXMR.ATNE)散布到這些設定不當的系統。
Docker會在作業系統層級實現虛擬化 – 也稱為容器化(containerization)。Docker API能夠讓遠端使用者像本地端用戶那樣地控制Docker映像。建議不要開放能夠讓外部存取的API端口,因為這會讓駭客有機會利用此不當設定進行惡意活動。
Docker引擎本身並沒有遭到攻擊,Docker企業版本也沒有受到影響。我們是在Docker社群版本看到這些少見的惡意行為。事實上,Docker技術提供讓使用者可以啟用及設定的安全功能來保護容器和工作負載。Docker也提供了防護Docker社群和企業版本的工具、文件和指南。當然,兩者的安全最佳實作都會要求不要開放這些端口。比方說建議運行商業應用程式的企業使用商業用的Docker企業版,能夠提供精確、基於角色的存取控制設定,必須經過身份認證才能使用API。
在我們的研究中,Docker API端口暴露是使用者設定不當的結果,因為我們發現這不當設定是在管理員層級手動設定的。實際上,因為設定不當而讓自身暴露於威脅中並非新鮮事,而這對企業來說也可能是得長期面對的挑戰。事實上,我們透過Shodan搜尋發現有許多人的Docker主機設定不當,特別是在中國。而同時還有美國、法國、德國、新加坡、荷蘭、英國、日本、印度和愛爾蘭也出現設定不當的Docker主機。大多數暴露的系統都是運行Linux作業系統。有意思的是Linux上的服務需要手動設定,而在Windows上直到17.0.5-win8都不是如此,出於安全理由而禁止服務暴露。雖然不當設定廣泛地在各版本都有發生,但根據Shodan的搜尋結果顯示超過一半有此問題的主機運行的是18.06.1-ce版本,這是相對較新的Docker版本。
圖1:在端口2375和2376觀察到的惡意活動或因不當設定遭濫用的時間軸(上)和國家/地區分佈(下)
圖2:攻擊不當設定Docker引擎的感染鏈
讓企業能夠更有效地做好資料安全保護以及主動防禦的最佳方法就是了解威脅環境趨勢。
檢視駭客現在所使用的攻擊、入侵和病毒散播策略,就能夠了解在未來會繼續出現的安全問題,讓企業可以準備好正確的資料和資產保護措施。
每一年都有著過去延續下來及新出現的威脅,這些威脅讓安全防護變得更加複雜。所以了解影響最大的威脅(包括過去就盛行的舊威脅以及網路犯罪分子間新出現的攻擊手法)在資料安全領域是相當重要的。
趨勢科技的研究人員檢視了2018年上半年常見的資料保護和網路威脅問題,整理出了2018年年中資安綜合報告:看不見的威脅帶來迫在眉睫的損失。
讓我們仔細探討一下這份研究以及今年上半年影響企業最主要的四個威脅。
Heartbleed早在2014年就已經出現。它是當時最嚴重也影響最廣泛的漏洞之一,大量使用OpenSSL加密程式庫的平台和網站都受到了影響。因為受影響網站的數量龐大,加上它讓駭客有機會讀取到儲存在系統記憶體內的資料,讓此漏洞在當時成為全球的新聞頭條。
而之後還有許多漏洞被找出,包括2018年初的兩個重大漏洞。研究人員發現了CPU的設計缺陷 – 被稱為Meltdown和Spectre。不幸的是,這些還不是今年唯一的知名漏洞。
正如趨勢科技在5月份所報告,在Meltdown和Spectre之後又發現了8個也會影響英特爾處理器的漏洞,其中有4個被認為屬於「高」嚴重性威脅。因為這些處理器被全球企業及消費者所大量使用,因此新出現的漏洞對安全管理員和個人用戶來說都相當值得擔心。 繼續閱讀
偽裝成行動認證服務的假銀行應用程式 Movil Secure, 會收集簡訊和電話號碼。當安裝者手機收到新簡訊時– 包含行動銀行應用程式用來確認或授權銀行交易的簡訊,它會將簡訊寄件者和訊息內容傳送到C&C伺服器和一支特定的電話號碼。趨勢科技懷疑取得的資料會被用在進一步的簡訊釣魚(SMiShing)攻擊,或被用來從銀行客戶身上收集銀行帳密。
有許多銀行都在為自家的行動應用程式提供更多功能及升級,而且也因為銀行應用程式所帶來的便利性,讓全世界有越來越多用戶使用行動銀行服務。不過隨著新金融技術的大量使用以及使用者會尋找自己銀行的應用程式和服務,也為詐騙份子帶來了更多機會。最新的一個例子是應用程式Movil Secure。我們在10月22日在Google Play上發現這個惡意應用程式,是針對西班牙語系用戶的簡訊釣魚(SMiShing)詐騙的一部分。
Movil Secure是個假銀行應用程式,會偽裝成行動認證服務。開發者下了很大的功夫來讓使用者認為這是個合法軟體,包括具備專業外觀的品牌及精細的使用者介面。我們還發現此一個開發者名下有其他三個類似的假應用程式。Google確認了這些應用程式已經從Google Play移除。
Movil Secure在10月19日上架,六天內被下載了超過100次。這可能是因為它聲稱跟跨國的知名西班牙銀行集團Banco Bilbao Vizcaya Argentaria(BBVA)有關,該銀行以專業技術聞名,正版的行動銀行應用程式被認為是業界最好的之一。
假應用程式(見下圖1)充分利用了BVVA的知名度,偽裝成該銀行服務用於身份管理和交易授權的行動認證服務。但仔細檢查後發現它並不具備這些功能。
圖1、該應用程式聲稱它是行動認證應用程式
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
資安趨勢部落格一周精選
媒體資安新聞精選:
Chrome 71 資安再升級:放置惡意廣告的網站,將被剝奪永久「廣告權」! 科技報橘
日最新研究:數位照片可破解手指靜脈認證 台視全球資訊網
匯豐美國客戶資料 證實遭駭 工商時報
供應鏈攻擊又一例:駭客以StatCounter為跳板入侵加密貨幣交易中心Gate.io iThome
【Zaif 交易所遭駭|事件追蹤】日本資安專家:兇手已曝光 BLOCKTEMPO
Docker Engine API 挖礦程式 駭客透過曝露在外的Docker Engine API來部署挖礦程式 iThome電腦報周刊
台灣在內亞洲逾8成新購電腦裝盜版軟體 遭病毒侵害 台灣蘋果日報網
【釣魚詐騙】「你看色情片的樣子被拍囉」警:馬上刪信! 台灣蘋果日報網
存在4年的LibSSH弱點,可讓駭客無須輸入密碼就能控制伺服器 iThome
10招3步驟 無障礙辨識假新聞 聯合新聞網
比爾·蓋茨談AI時代人類該如何生活 新浪網(臺灣)
王文華:就算不能寫在履歷表上,也要去做的1件事 快樂工作人雜誌
電子連署 唐鳳:卡在資安 人間福報網
【生日片】趨勢科技 30 歲!董事長張明正現身分享「創業 3 招」 INSIDE
資安防護下一步?趨勢科技:展望「ONE VISION全視界」守護網網互連的新世界 T客邦
趨勢科技三十年 創辦人回首第一隻蟲 三立新聞網
趨勢科技董座張明正 「資安市場還有20年好光景」 聯合新聞網
趨勢科技董事長談 30 年創業路:不跟風、正面迎向挑戰,成就台灣一代「資安巨人」 科技報橘網
《科技》趨勢科技董座張明正:台灣軟體業應把握3T商機 富聯網