森德網站設計

資安情報站

犯罪組織藉郵件散播惡意程式,台灣、南韓等地企業皆傳受害

新一波網路郵件釣魚攻擊,犯罪組織透過釣魚郵件的HTML連結或Excel .xls附件誘騙使用者點擊,以執行名為FlawedAmmyy的RAT木馬程式,入侵了智利、墨西哥、義大利以及臺灣、中國和南韓等地的企業。

數聯資安即時把IoC納入數聯資安SOC監控中心的監控機制外,更可在攻擊發佈前便已經透過各項關聯的異常行徑,預先察覺已經發生的威脅趨勢,幫助企業資安管理者提早做出預防性的決策。(新聞來源iThome

 

 

「微軟安全情報中心」於日前偵測到新一波社交工程郵件釣魚攻擊行動,其主要目標地區為東亞地區,包括台灣、南韓及中國都傳出企業受害的回報。

 

此次郵件攻擊的方式,為郵件中夾帶一副檔名為.xls的附檔,使用者打開郵件並點擊附檔後,會自動執行以下的下載及啟動惡意程式碼過程:


1.    自動執行巨集(Macro)
2.    巨集執行msiexec.exe
3.    msiexec.exe從網路下載一個MSI壓縮檔,該MSI壓縮檔為一經過數位簽章的可執行檔
4.    解壓縮並執行該MSI壓縮檔
5.    於記憶體進行解密並執行另一名為wsus.exe的執行檔,該執行檔具數位簽章,簽章日期為6月19日
6.    該wsus.exe執行檔,將下載並於記憶體執行一支遠端存取木馬程式(Remote Access Trojan,RAT)
7.    經研判應是名為FlawedAmmyy 的遠端存取木馬程式

 

FlawedAmmyy是名為TA505的犯罪組織其中一支常用的RAT,此組織從去年底開始積極以社交工程郵件釣魚攻擊金融與零售業,入侵合法的遠端管理系統或或散佈RAT程式如FlawedAmmyy、FrawedGrace等。

 

首度發出FlawedAmmyy的安全通知。研究人員相信它是由名為TA505的犯罪組織發動,這個組織從去年底開始積極以網釣信件攻擊金融與零售業,入侵合法的遠端管理系統或或散佈RAT程式如FlawedAmmyy、FrawedGrace等。此組織於本年四月間利用FlawedAmmyy和工具入侵了智利、墨西哥及義大利企業。而到四月底,FlawedAmmyy更蔓延到東亞地區,包括臺灣、中國、南韓。微軟及趨勢科技都偵測到使用韓文的惡意檔案,但也有簡中版本的攻擊樣本。

 

 

針對本次攻擊「微軟安全情報中心」期後也公佈了對應的入侵指標(Indicators of Compromise,IOC),IoCs (SHA-256),如下:

  • c2c6f548fe6832c84c8ab45288363b78959d6dda2dd926100c5885de14c4708b (digitally signed wsus.exe)
  • 6860de46fdea393bd48ca000ecff4047920a56728b7945f95a6ca0801c278097 (FlawedAmmyy RAT)

 

過往企業面對資安威脅是被動的狀態,必須等到攻擊事件確認公布或發生攻擊後,仍必須耗費一段鑑識調查階段的時間,因此如何防範於未然則需要在發生異常跡象時及早發現察覺,為一重大課題。

 

數聯資安SOC監控中心除了在「微軟安全情報中心」發佈IoC 後,即時把IoC納入數聯資安SOC監控中心的監控機制外,更可在攻擊發佈前便已經透過各項關聯的異常行徑,預先察覺已經發生的威脅趨勢,幫助企業資安管理者提早做出預防性的決策。

 

▶︎ 了解更多數聯資安SOC資安監控服務
資安服務洽詢,歡迎隨時與數聯資安聯繫:https://www.issdu.com.tw/contact.php

返回