「加三嘻行動哇 Yipee! 成為好友」
【Facebook、Youtube、Twitter、Instagram、Telegram、Line】
根據趨勢科技「熱帶騎警攻擊行動」觀察報告,指出台灣與菲律賓一直是 APT 威脅的首要目標,在過去三個月內,62% 的攻擊行為都是針對台灣的政府單位與重工業,菲律賓的軍事單位則是另一個目標。從趨勢科技病毒防治中心最新研究來看,駭客攻擊火力以今年 3月份最為密集,連最常被利用的 c&c 伺服器也位於台灣!而且這次如同其他 APT 攻擊一樣,「熱帶騎警攻擊行動」已帶來重大危險,建議政府單位和企業都應有一套完整的監控策略與進階威脅防護工具,掌握並修補其網路的安全漏洞。
趨勢科技資深技術顧問簡勝財表示:「『熱帶騎警攻擊行動』自2012年起即現出蹤影,但在今年3月份對台灣的攻擊火力大幅增強,並仍持續進行中。被利用的 C&C 伺服器中,有 43% 位於台灣,其次則分別位於美國、香港和阿拉伯聯合大公國。」
這項攻擊行動之所以能夠成功綜合了許多因素,例如利用兩個至今最常遭到攻擊的 Windows 漏洞:CVE-2010-3333 和 CVE-2012-0158 來入侵目標網路,並且採用了基本的圖像隱藏術 (steganography) 來將惡意程式碼隱藏在圖片當中,再搭配社交工程技巧騙取收件者的信任,不小心開啟洩漏資訊給駭客的後門。此外,截至目前為止,台灣仍有17%的系統還在使用微軟Windows XP作業系統,而許多企業對於如何防禦APT這種長期持續滲透的攻擊仍不熟悉、防護架構也不完整。
這次的攻擊手法,是先使用社交工程釣魚郵件、挾帶惡意附件檔案,進一步攻擊一些既有的漏洞,透過與收件者業務有關聯的郵件主旨、內容以及配合該情況的附件檔案名稱,趨勢科技曾發現的有:「關於 104 年中央政府總預算」或「實驗室電話表」等檔名,讓收件人不疑有他,進而下載並開啟郵件中所附的檔案。
當附件檔案開啟時,會執行一個內嵌的惡意執行檔,其是個檔案下載程式,趨勢科技偵測為 TROJ_YAHOYAH 木馬程式。該程式會連上惡意網站,來下載另一個藏有惡意程式的圖片檔或 .MSI 檔,惡意程式會把圖檔的程式碼解密執行,駭客就可以透過木馬程式竊取受感染系統的帳號與登入資訊,歹徒自此再也不必駭入系統,因為他們可以直接用合法帳號登入,自由存取電腦上的所有資訊。
因此也提醒,台灣政府單位和重工業企業長期被鎖定為 APT 攻擊目標,報告中也發現歹徒仍在使用一些舊的技巧來攻擊一些已知的漏洞,表示被鎖定的單位需提昇資安意識與防護工具。趨勢科技呼籲政府組織及企業需提昇資安意識,並建議相關單位與企業都應該採取一套客製化防禦策略,藉由完整的「偵測、分析、回應」三個步驟來對付企業所面臨的特有威脅。
消息及資料來源:趨勢科技
|
