2014年12月7日 星期日

「亞太地區鎖定目標攻擊發展趨勢」報告

  TrendMicro 趨勢科技最新發佈 2014 上半年「亞太地區鎖定目標攻擊發展趨勢」,指出專門鎖定亞太地區的黑客正不斷改良其鎖定目標攻擊手法,以便長期潛伏在企業內部,歹徒利用各種軟體與應用程式的舊有漏洞,或最常使用透過電子郵件鎖定目標攻擊,竊取企業機構寶貴資產或機密資料,並預計 2015 年亞太地區鎖定目標攻擊活動的大小及規模將不斷提高。

  趨勢科技「亞太地區鎖定目標攻擊發展趨勢」報告分析,魚叉式網絡釣魚電郵仍是歹徒最常用的網絡滲透工具,有將近 80% 的鎖定目標攻擊惡意程式均透過電郵進入企業。一般來說,收件人目標都是企業的員工,魚叉式網絡釣魚電郵會引誘收件人點選某個惡意連結,或者下載某個惡意檔案來執行,這些電郵最常挾帶的附件檔案類型為 Microsoft Office 文件 (57%) 及 RAR 檔案 (19%) ,因為這類檔案在企業內相當普遍,其中一項攻擊即利用寮國副總理罹難的消息,該攻擊使用像「最新消息:寮國高層官員死於空難」之類的標題為誘餌,引誘收件人點選內容。

targeted-attack-trends-apac-2014

  除了魚叉式網路釣魚郵件之外,歹徒還會入侵一些網站然後架設水坑式攻擊,於部份企業員工經常造訪的網站設下陷阱入侵目標企業。典型的水坑式攻擊三個基本步驟,首先會找出目標受害者經常造訪的網站,然後讓這些網站感染惡意程式,然後等候員工造訪這些網站時感染其電腦系統,即成功啟動整個目標攻擊行動。

  零時差漏洞攻擊以及經過長時間驗證的漏洞攻擊,亦曾出現在鎖定目標攻擊當中。這些舊有漏洞仍然有效,是因為該地區的 IT 人員有時會害怕營運關鍵應用程式中斷而選擇不套用安全更新。今年亦有歹徒即利用了 Windows XP 終止支援後所留下來的漏洞,對一些大使館發動鎖定目標攻擊,歹徒最常攻擊 Microsoft Office (53%) 及 Adobe Reader (46%) 的軟件漏洞。

  根據 2014 上半年的資料, ASCII 文字檔案已取代 .ZIP 和 .RTF 檔案成為歹徒最常用的附件檔案類型。不過, .PDF 檔案仍是歹徒的最愛,因為它們是企業內部流通頻繁的檔案類型,另一個原因是 Adobe Reader 有許多可利用的漏洞。此外,鎖定目標攻擊當中最常用的惡意程式為木馬程式或木馬間諜程式 (53%) ,其次為後門程式 (46%) 。後門程式通常用於建立幕後操縱通訊及執行遠端指令,而木馬和木馬間諜程式則用於下載最終的惡意檔案並且將資料外傳。

targeted-attack-trends-apac-2014

2014 上半年重大攻擊行動 Siesta 及 ESILE

  報告亦指出, 2014 上半年較重大的攻擊行動包括名為 Siesta 及 ESILE 等攻擊手法, Siesta 在西班牙文有「小睡」的意思,其惡意程式最後會收到睡眠指令,然後在系統當中潛伏一段時間,藉此躲避偵測。 Siesta 攻擊行動的目標遍及不同產業,包括消費性商品及服務、能源、金融、醫療、媒體與通訊、公共行政、安全與國防、運輸與交通等。 Siesta 會假冒來自同事的電郵,將電郵寄到選定目標企業的高層主管手中,內含看似正常的惡意連結。

  分析顯示, Siesta 行動幕後的歹徒使用「 Li Ning 」這個名稱,註冊 sky{BLOCKED}.com 此幕後操縱伺服器,而 Li Ning 的電子郵件地址則為 xiaoma{BLOCKED}@163. com 。不過除了這個幕後操縱伺服器連結外,「 Li Ning 」還註冊其他 79 個網域,並推測「 Li Ning 」應為虛假名稱。而 ESILE 行動則專門攻擊亞太地區政府機關,透過魚叉式網絡釣魚電郵散佈,並且使用醫療、稅務等各種社交工程誘餌,這些電郵內含一個看似無害的文件,但當該文件開啟時卻會在背後執行惡意檔案。

  亞太地區 2014 上半年至今仍在活躍當中鎖定目標攻擊行動,還包括 IXESHE 、 PLEAD 、 ANTIFULAI 和 Taidoor ,用家於電郵接收及瀏覽網站時應多加留意,避免因個人疏忽讓黑客有機可乘。

沒有留言:

張貼留言