骇客组织在执法单位从事执法行动,破坏基础设施之后,另起炉灶再度从事攻击行动的情况不时传出,而最近一波恶意软体SmokeLoader再度出没的攻击行动相当值得留意,因为这是在遭执法单位查缉之后,该恶意程式的最新活动。
值得留意的是,这波攻击行动针对台湾的企业而来,骇客的目标涵盖制造业、医疗保健、资讯科技等多个产业。特别的是,攻击者竟使用内容几乎一模一样的钓鱼信,对不同公司下手。
【攻击与威胁】
今年5月,欧洲刑警组织与十多个国家的执法单位联手,针对包含SmokeLoader在内的多款恶意程式载入工具(Loader)、僵尸网路,摧毁相关基础设施,并逮捕嫌犯、冻结不法所得,但事隔数个月,这些骇客又再度从事攻击行动,而且,这次疑似针对台湾而来。
资安业者Fortinet指出,他们在今年9月看到新一波的SmokeLoader攻击行动,骇客针对台湾的制造业、医疗保健、资讯科技,以及其他领域的公司而来。值得留意的是,过往攻击者将SmokeLoader作为散布其他恶意程式的管道,但在这波资安事故里,骇客从C2伺服器下载其他的SmokeLoader外挂程式,以便进行后续的恶意活动。
攻击者先是透过钓鱼信对目标下手,他们假借提供报价的名义,要求收信人依照指示进行确认、回复,一旦收信人开启附件的报价资料档案,电脑就有可能执行VBS指令码,启动恶意程式载入工具AndeLoader,最终载入SmokeLoader的有效酬载。
提供恶意软体分析沙箱的资安业者Any.run指出,他们发现疑似利用零时差漏洞的攻击行动,骇客在过程中不仅能回避防毒软体的侦测,还能绕过收信软体Outlook的垃圾信过滤机制,并防有人上传到沙箱进行检查。
针对攻击者接触受害者的管道,研究人员提及是透过钓鱼信来进行,一旦收信人打开附件Word档案,Word就会显示警告视窗,表示侦测到档案已经损坏,并指出内含无法读取的内容,询问使用者是否尝试进行修复。资安新闻网站Bleeping Computer取得Any.run找到的恶意档案,指出攻击者假借人力资源部门,使用薪资、员工福利、奖金为诱饵,寄送挟带ZIP档或Word档案附件的电子邮件,而且,这些档案名称皆包含以Base64编码的字串。
其他攻击与威胁
【漏洞与修补】
该公司表示,他们在8月5日接获Nozomi的通报,随即指派软体团队著手分析,并进行修复。经过多轮测试,他们完成新版韧体并经由Nozomi进行验证,11月25日确认完全修复所有漏洞,并符合业界的资安标准。
针对客户修补的情况,研华表示他们的产品团队已陆续通知所有使用EKI-6333系列的客户,提供相关韧体更新资讯与指引,并建议根据实际使用需求,更新至最新版韧体。
【资安防御措施】
上周国际刑警组织(Interpol)宣布,他们与40个国家及地区的执法单位联手,从今年7月至11月执行名为Operation Haechi-V的执法行动,结果逮捕超过5,500名从事金融犯罪的嫌犯,并没收超过4亿美元的不法所得。
这波执法行动他们针对7种透过网路从事的诈欺行为进行调查,这些包含:语音网路钓鱼(vishing)、爱情骗局、色情勒索、投资诈骗、非法赌博、商业邮件诈骗(BEC),以及电子商城诈欺。
他们提及韩国与中国联手破获大型语音网路钓鱼集团,迄今已有超过1,900人受害,造成11亿美元的损失。此犯罪组织的作案手法相当复杂,他们可能会假扮执法人员,或是使用伪造的身分来行骗。两国执法单位逮捕至少27人,其中19人已遭到起诉。
其他资安产业动态