【威脅埋身】三個新惡意軟件病毒株壯大 釣魚活動侵害全球金融網絡
惡意釣魚活動不時出現,提高警覺是企業必須要做的事。近日 FireEye 的 Mandiant 網絡安全團隊表示,在 2020 年 12 月發現三個由經驗豐富的威脅參與者操控的惡意軟件病毒株,三者分別被稱為 Doubledrag、Doubledrop 和 Doubleback。目前為止,美國、歐洲、中東、非洲、亞洲和澳洲的組織,已遭遇兩波攻擊。
這些網絡釣魚郵件在發送給潛在受害人時,很少用上相同的電子郵件地址,而其電郵主題攻更是按針對目標「度身訂造」。很多時威脅參與者會偽裝成客戶代表,吹噓其服務適合不同行業,包括國防、醫藥、運輸、軍事和電子行業。攻擊總共使用了超過 50 個網域,來管理這個規模覆蓋至全球網絡釣魚計劃。在其中一次成功的攻擊中,UNC2529 成功入侵一間美國供暖和製冷服務企業的網域篡改了其 DNS 記錄,並藉此結構對至少 22 個組織發起了網絡釣魚攻擊。
誘餌電子郵件包含指向載有惡意 .PDF 的連結,以及包含在 .zip 檔內的 JavaScript 檔案,並令到公共資源中的文檔損壞,造成無法讀取檔案,而這個時候受害者或會點擊 .js 文件來嘗試讀取。Mandiant 指,.js 文件包含 Doubledrag 下載程式,而某些情況可能是用上 Excel 檔案來傳遞這些惡意軟件病毒。當受害者執行程式,Doubledrag 便會下載一個 Doubledrop 作為攻擊鏈的第二階段。 Doubledrop 是一個模糊的 PowerShell Script,目的是為受感染的裝置建立一個後門。這個後門最終是惡意軟件組件 Doubleback,是一個以 32-bit 和 64-bit 版本創建的惡意軟件。
Mandiant 指出,後門一旦遭控制,便會被加載插件,然後進入通訊系統,並在 C2 server 中執行命令調度。 而在整個過程中,系統內只存有下載程式,其餘組件會在數據庫中序列化,令檢測困難,尤其是對這些以文件方式的防毒引擎,便更具難度。
在現階段,有迹象顯示該惡意軟件仍在開發當中,因為該程式會掃描是否存在防病毒產品,但即使檢測到有,也不會採取任何措施。有關新惡意軟件病毒株的分析仍在進行中。
研究人員說表示,儘管 Mandiant 還沒找出這個威脅參與者的目標,但他們廣泛針對不同行業和地區,並多見於金融群組,這些對象是一致的。