2013年5月28日 星期二

網路間諜活動盛行 全球100多國淪為Safe受害者

網路間諜活動盛行 全球100多國淪為Safe受害者

網路間諜活動盛行,企業機密資料岌岌可危,根據趨勢科技報告指出,自去(2012)年10月開始的Safe網路間諜行動,至今已有12000個IP位址受害,範圍涵蓋100多個國家,受害組織包括政府部門、科技公司、媒體、學術研究機構、非政府組織…等不同單位。

Safe行動採用魚叉式網路釣魚(spear phishing)手法,攻擊者會先寄出一封夾帶惡意附件的E-mail給攻擊目標,當受害者打開惡意附件、電腦就會自動下載惡意程式,並與遠端中繼站建立連線。

為了降低被發現的風險,攻擊者依據攻擊目標的不同,分別使用2個不同的C&C伺服器,此外,攻擊者還透過虛擬私人網路(VPN)和代理工具,讓網路服務供應商的IP位址的地理位置更多樣性。

在第一組攻擊行動中,攻擊者散布內容與西藏和蒙古相關的Email,並夾帶一個惡意word文件,該份惡意文件能利用微軟在2012年4月已經修補的Word漏洞,入侵使用者電腦。根據C&C伺服器存取記錄,共有來自11個國家的243個IP受害,不過在趨勢介入調查時,只剩下其中3個來自蒙古和蘇丹南部的IP仍然十分頻繁的進行存取。

第二組攻擊範圍更大,根據C&C伺服器存取記錄,受害者來自116個國家、共有11563組IP位址,不過實際受害者應該沒有這麼多,平均而言,每天約有71個IP位址與該C&C伺服器之間頻繁溝通,前五名受害國家分別為印度、美國、中國、巴基斯坦、菲律賓和俄羅斯。

攻擊者在Safe間諜活動中所使用的惡意程式,不僅專門為竊取資料而設計,同時還整合其他模組以增加功能,如:竊取IE和Firefox上儲存的密碼、竊取儲存在Windows上的遠端桌面協定(Remote Desktop Protocol,RDP)憑證…等,根據市場推斷,其開發者與中國地下網路犯罪集團有關,而且還使用了與中國某知名大學所做研究有關的技術,以及某一家中國網路服務業者的原始碼資料庫,雖然目前還無法確定攻擊者的意圖和身分,但種種跡象皆顯示與中國有關。

事實上,自今(2013)年以來,網路間諜活動頻傳,魚叉式網路釣魚更是駭客常用的攻擊手法,企業除了提升病毒防禦能力之外,也應該提醒所有員工在開啟信件和訊息時要格外留意是否為安全的來源,避免成為下一個受害者。

轉載自《資安人科技網》