網路間諜集團以紐約恐攻事件當誘餌

Pawn Storm  攻擊行動 (亦稱為 Fancy Bear、APT28、Sofacy、STRONTIUM) 又登上媒體版面 ,資安研究人員再次揭露該集團最新的網路間諜行動。該集團最近的魚叉式網路釣魚行動使用的是暗藏惡意程式的 Word 文件,並利用前不久 (10 月 31 日) 紐約發生的恐攻事件為社交工程誘餌。

根據報導指出,駭客利用了 Microsoft Office 的動態資料交換 (Dynamic Data Exchange,簡稱 DDE) 機制來開啟一個命令提示字元視窗並執行 PowerShell 指令去下載及執行一個用來分析受害者電腦的程式。如果受害者電腦對他們有價值,就進一步植入一個後門程式 (X-Agent 或 Sedreco)。

[TrendLabs 資訊安全情報部落格: REDBALDKNIGHT/BRONZE BULTER 網路間諜集團的「Daserf」後門程式開始採用圖像隱碼術 ]

DDE 是一種讓不同應用程式之間彼此分享、交換資料的機制。但駭客卻利用它來開啟命令提示字元視窗,或者執行惡意程式碼,不再仰賴巨集功能。雖然這並非什麼新的技巧,但這種利用 DDE 機制的手法確實越來越受網路間諜集團以及 整天想著賺錢的網路駭客關注。就連 Locky 勒索病毒和其長期共犯  Necurs 殭屍網路 最近也開始使用這項技巧。

延伸閱讀:[ 網路間諜集團 Turla 在 G20 工作小組高峰會前發動一波行動]

然而除了 DDE 逐漸受到青睞之外,近期也出現了大量的網路間諜及網路宣傳活動。例如,美國外交關係協會 (Council on Foreign Relations,簡稱 CFR) 今年至目前為止就 遭遇了 26 次不同的攻擊行動。事實上,光過去幾個星期就有多個駭客團體利用各地的政局發展來發動攻勢,其中包括:

  • Keyboy:同樣也是利用 DDE 在系統植入資訊竊取程式。
  • Sowbug:專門攻擊南美和東南亞的外交使節團與外交政策機構。
  • OceanLotus/APT32:曾在東南亞國家協會 (ASEAN) 高峰會招開前夕展開攻擊行動。
  • ChessMaster:曾開發出新的工具和技巧來讓其活動更加隱密。
  • BlackOasis:使用一個 Adobe Flash 軟體的零時差漏洞來散發間諜程式,專門鎖定中東政治人物和聯合國官員。

[資安基礎觀念: 越來越多利用 PowerShell 相關威脅該如何防範 ?]

對企業機構而言,這些案例都突顯出邊界防禦的重要:從閘道、網路、伺服器到端點裝置,因為沒有任何平台能夠倖免於攻擊。以下是一些能夠大幅縮小企業攻擊面的縱深防禦措施:

趨勢科技解決方案

Deep Discovery 能即時偵測、深入分析、並主動回應今日隱匿的惡意程式與針對性攻擊。它提供了一套專為企業量身訂做的完整防禦來對抗針對性攻擊和進階威脅,利用特殊的引擎、客製化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測上述零時差攻擊行動當中的各種威脅。趨勢科技Deep Security趨勢科技 Vulnerability Protection 漏洞防護 都能提供虛擬修補來防範企業端點因未修補的漏洞而遭到攻擊。

有鑑於許多像 Pawn Storm 這樣的網路間諜集團都是利用電子郵件為入侵企業的破口,企業應建置妥善的電子郵件閘道防護,以防止歹徒所散播的威脅。趨勢科技 Hosted Email Security 是一套不需您維護的雲端方案,提供持續更新的防護,幫您攔截垃圾郵件、惡意程式、魚叉式網路釣魚、勒索病毒以及進階針對性攻擊,不讓威脅到達您的網路。趨勢科技 Deep Discovery™ Email InspectorInterScan™ Web Security   能防範惡意程式到達使用者端。在端點層次,趨勢科技HYPERLINK “http://www.trendmicro.tw/tw/business/complete-software-protection/index.html” Smart Protection Suites 可提供多重防護來降低威脅的衝擊。

這些解決方案皆採用趨勢科技 XGen™ 防護為基礎,能提供跨世代融合的威脅防護技巧,完整防範各式各樣的威脅,保護資料中心雲端環境網路端點。它藉由高準度的機器學習來保護閘道端點資料和應用程式,保護實體、虛擬及雲端工作負載。

原文出處:Pawn Storm Group Uses the New York Attack in its Latest Cyberespionage Campaign

原文來自 資安趨勢