橫行臺、日的網路駭客組織Blackgear神秘面紗首度在臺揭露,攻擊手法大剖析
趨勢科技在2017臺灣資安大會首次公開網路駭客組織Blackgear的威脅研究報告,Blackgear利用惡意中繼站的方式進行APT攻擊,且從去年開始轉向攻擊日本,甚至出現了新的手法
相信資安圈的人對Blackgear都不陌生,網路駭客組織Blackgear曾在2012年大肆攻擊臺灣的企業和政府單位,當時Blackgear的手法新穎,是第一個利用惡意中繼站的方式進行APT攻擊,不過,根據趨勢科技的威脅研究研究員Joey Chen和Mingyen Hsieh觀察,Blackgear去年開始轉移攻擊目標,開始對日本展開大量的攻擊,也出現新的攻擊手法,主要集中火力攻擊政府單位、重工業和旅遊業,他們推測,Blackgear的目的是竊取產業的資料。
Blackgear攻擊3階段
趨勢科技把Blackgear攻擊的流程分為3個階段:連接檔案(Binder)、下載工具(Downloader)、後門程式(Backdoor)。
一開始先用網路釣魚的電子郵件誘騙使用者下載連接檔案(Binder),Binder是兩個程式結合,執行其中一個程式時,會連帶開啟另一個程式,使用者下載連接檔案之後,會看到檔案呈現資料夾的型式,但事實上,該檔案並不是資料夾,而是一個執行檔,一般的使用者為了開啟資料夾,在不知情的情況下便會點擊兩下,這時,執行檔就成功的被執行並且在受害者的電腦種了下載工具(Downloader)。
駭客組織主要利用了2個下載工具RLMNY和Ymalrmini,先將下載工具植入受害者的電腦後,就能進一步自動下載後門程式(Backdoor),像是當時廣為人知的Elirks,不同於以往的惡意攻擊模式,後門程式Elirks是透過中繼站的方式連上惡意伺服器,也就是說,駭客把C&C中繼站的設定檔儲存在部落格的文章中,像是2012年臺灣當時較盛行的網站噗浪(Plurk)和蕃薯藤(Yam),利用後門程式Elirks擷取C&C中繼站的設定檔,再去連結真正的惡意C&C伺服器。
其中,C&C中繼站的設定檔會隱藏在部落格的公開網路文章中,Mingyen Hsieh舉例,設定檔資訊會藏匿在看似正常的發文中,像是「I got an available series of numbers」,但是,其實這串文字就是Elirks要找的標籤(Tag),而接在後面的字串正是Elirks要的設定檔。
《全文請見iThome(http://www.ithome.com.tw/news/112900)》
相信資安圈的人對Blackgear都不陌生,網路駭客組織Blackgear曾在2012年大肆攻擊臺灣的企業和政府單位,當時Blackgear的手法新穎,是第一個利用惡意中繼站的方式進行APT攻擊,不過,根據趨勢科技的威脅研究研究員Joey Chen和Mingyen Hsieh觀察,Blackgear去年開始轉移攻擊目標,開始對日本展開大量的攻擊,也出現新的攻擊手法,主要集中火力攻擊政府單位、重工業和旅遊業,他們推測,Blackgear的目的是竊取產業的資料。
Blackgear攻擊3階段
趨勢科技把Blackgear攻擊的流程分為3個階段:連接檔案(Binder)、下載工具(Downloader)、後門程式(Backdoor)。
一開始先用網路釣魚的電子郵件誘騙使用者下載連接檔案(Binder),Binder是兩個程式結合,執行其中一個程式時,會連帶開啟另一個程式,使用者下載連接檔案之後,會看到檔案呈現資料夾的型式,但事實上,該檔案並不是資料夾,而是一個執行檔,一般的使用者為了開啟資料夾,在不知情的情況下便會點擊兩下,這時,執行檔就成功的被執行並且在受害者的電腦種了下載工具(Downloader)。
駭客組織主要利用了2個下載工具RLMNY和Ymalrmini,先將下載工具植入受害者的電腦後,就能進一步自動下載後門程式(Backdoor),像是當時廣為人知的Elirks,不同於以往的惡意攻擊模式,後門程式Elirks是透過中繼站的方式連上惡意伺服器,也就是說,駭客把C&C中繼站的設定檔儲存在部落格的文章中,像是2012年臺灣當時較盛行的網站噗浪(Plurk)和蕃薯藤(Yam),利用後門程式Elirks擷取C&C中繼站的設定檔,再去連結真正的惡意C&C伺服器。
其中,C&C中繼站的設定檔會隱藏在部落格的公開網路文章中,Mingyen Hsieh舉例,設定檔資訊會藏匿在看似正常的發文中,像是「I got an available series of numbers」,但是,其實這串文字就是Elirks要找的標籤(Tag),而接在後面的字串正是Elirks要的設定檔。
《全文請見iThome(http://www.ithome.com.tw/news/112900)》