【魚目混珠】水坑攻擊瞄準中日網民 影片解碼插件暗藏WhiskerSpy木馬程式
網絡安全研究員捕獲一種針對一小撮特定人士的水坑攻擊,該攻擊瞄準身處中國瀋陽及日本名古屋對北韓有興趣人士,並入侵了一個支持北韓的網站,再注入木馬程式 WhiskerSpy 等目標到訪,當對方授權安裝偽裝為影片解碼插件就會中招。雖然這次攻擊未必與你有關,但都可以引以為鑑。
簡單來說,水坑攻擊(Watering hole)是一種等運到的網絡攻擊方式,黑客會針對目標人物的喜好,推測他們經常訪問的網站,再佈下陷阱。雖然手法看似隨機,但由於黑客針對特定人士的興趣,在特定網站注入惡意軟件,又或架設一個惡意專題網站,讓對方搜索到來,因此仍有不錯的命中率。
這次被網絡安全公司Trend Micro捕獲的 WhiskerSpy 就屬於其中一種,研究員說背後的黑客組織 Earth Kitsune 自 2019 年已採用類似手法,但這次的攻擊方法,則由去年年尾才啟動。由於黑客鎖定的對象,是中國及日本特定地區對北韓感興趣人士,因此他們首先入侵了一個支持北韓的網站,等待目標到訪。
當目標人士進入網站,黑客注入的惡意編碼,首先會偵測對方的 IP,如確認為上述地區人士,瀏覽器便會彈出一個要求安裝影片解碼插件的錯誤訊息,讓對方誤以為必須安裝解碼插件,才能收看網站上的影片內容。一旦對方授權安裝,偽裝為解碼器的 MSI 視窗執行檔便會觸發一連串的 PowerShell 指令,最終將 WhiskerSpy 引入電腦。
研究員說,黑客為了讓木馬程式長駐受害者的電腦,分別濫用了 Google Chrome 延伸工具及 Microsoft OneDrive 側載功能,前者可確保木馬程式在瀏覽器每次啟動時都會被載入,後者則可將惡意軟件下載至 OneDrive 目錄,在每次開機後都自動被載入。
WhiskerSpy 具備的功能非常多元化,除了可執行黑客從 C&C 控制中心發放的指令,還可於受感染電腦上下載、上載或刪除檔案,執行屏幕截圖等。為減低被安全工具偵測風險,所有指令及資料都會經加密才傳送。
雖然研究員說黑客還對來自巴西的網民發動攻擊,但相信只是測試水坑攻擊的效能及隱密性。現階段研究員未能明確指出這次攻擊目的,但估計主要是從受害者身上蒐集對北韓政府有用的資料。
作為一般網民,日後上網如果遭遇相同情況,最好還是停止繼續瀏覽網站,無論內容看似很吸引,也要安全至上。
相關文章:【不留痕迹】北韓間諜集團開發新軟件 結合圖像隱碼術專攻南韓人