惡意程式
Managed XDR 團隊透過 Trend Vision One™ 調查 Ducktail 攻擊行動
Trend Micro Managed XDR 團隊調查了多起涉及不同客戶的 Ducktail 網頁瀏覽器登入憑證竊取事件。
2022 年 7 月,資安研究人員發現一起名為「Ducktail」的攻擊,在這起攻擊當中,駭客利用資訊竊取程式來攻擊具備 Facebook 商業帳戶存取權限的個人使用者或企業員工。駭客利用 LinkedIn 私訊發動了一波瞄準行銷和人力資源專業人才的魚叉式網路釣魚攻擊。Ducktail 駭客集團這波攻擊的目的是為了控制受害的 Facebook 商業帳戶並濫用廣告功能來刊登惡意廣告。隨著 LinkedIn 的不斷成長與日漸受到歡迎,它也成了駭客發動社交工程詐騙與其它犯罪所偏愛的工具之一。
2023 年 3 月,Trend Micro Managed XDR 團隊調查了多起涉及不同客戶的 Ducktail 網頁瀏覽器登入憑證竊盜事件。我們發現了一個會蒐集使用者資料的程式,蒐集的資料包括:瀏覽器資訊、IP 位址、定位資訊,而且還會連線到 Facebook 和 Telegram 網域。本文說明我們的研究發現以及針對該攻擊所做的技術分析。
技術層面分析
從這個樣本的檔案名稱看來,這波攻擊顯然是衝著行銷專業人才而來,因為檔名提到了行銷總監這個職務 (圖 1)。此外,它還提到另一個更高階的主管職缺來引誘受害者點選壓縮檔。這裡請注意,我們只有拿到下載連結,因此無法斷定這些連結如何發送到受害者手中,不過有可能是經由 LinkedIn 訊息,因為 Ducktail 過去就曾經使用過該平台。
我們藉由這個檔案名稱搜尋到壓縮檔案的內容 (圖 2) 以及來源網址 (圖 3)。從檔案的來源網址可以看出惡意檔案是存放在 Apple 的 iCloud 雲端檔案服務上。請注意該網址在本文撰寫當下已經無法使用。
我們觀察了該檔案執行時所產生的處理程序,共有三個,其中兩個:一個是 Microsoft Edge (圖 5),另一個是 Google Chrome (圖 6),都是用來蒐集受害者的 IP 位址與定位資訊。
以下是這些處理程序所用到的參數:
--headless --disable-gpu --disable-logging --dump-dom hxxps://getip[.]pro
最後一個處理程序 (圖 7) 是用來開啟一個 PDF 檔案,內容是假的職務說明。
當受害者忙著閱讀 Ducktail 產生的 PDF 檔案時,惡意程式就在背後偷偷蒐集瀏覽器儲存的帳號登入憑證,同時連上 Facebook 網域來蒐集帳號的 Facebook 相關資訊。資料蒐集到之後,惡意程式會將資料儲存成一個文字檔:「%User.Temp%\temp_update_data_8.txt」,接著利用 Telegram 將資料外傳。我們觀察到,惡意程式每 10 分鐘就會更新並傳送一次資料。
追查是否有其他受害電腦
當惡意程式連上 Telegram 之後,我們決定搜尋一下是否有其他受害電腦。我們利用 Telegram 的 IP 位址,在 Trend Micro Vision One™ 內搜尋了一下環境內是否有其他可能也遭到感染的電腦。搜尋之後發現有幾台電腦也出現以下處理程序:
- C:\Users\<user>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MS Excel.exe
- C:\Users\<user>\AppData\Local\Temp\onefile<random>\MicrosofOffice.exe
經過核對之後我們發現所有檔案都與第一個偵測到的檔案類似。值得注意的是,此處的檔名讓它看起來好像是 Office 程式。
資安建議與趨勢科技解決方案
由於今日駭客經常利用社交工程誘餌,因此不論一般使用者或企業都應該小心避免點選不明來源的連結或下載不明來源的檔案,不論是經由社群媒體網站 (如 LinkedIn 和 Facebook) 或是經由電子郵件散布。以下是一些可幫助使用者避免淪為魚叉式網路釣魚攻擊受害者的一些資安習慣:
- 使用者應小心不預期或不請自來的電子郵件,在點選或開啟任何附件或連結之前,應該先檢查一下寄件人的身分。
- 使用者應避免點選可疑連結,尤其是來自不明或可疑來源的連結。將滑鼠移動到連結上方停留一下看看實際的網址,這樣有助於收件人判斷某個連結是否指向合法網站。
- 企業應確定其員工都接受過有關魚叉式網路釣魚的教育訓練,能分辨並避開這類危險。定期舉辦教育訓練有助於讓每一個人都經常接收新知。
Trend Micro XDR 運用專家數據分析技巧來分析各種趨勢產品技術蒐集到的資料。XDR 採用先進的 AI 及專家資安數據分析來交叉關聯客戶環境及全球威脅情報,過濾出量少質精的警報,進而加快偵測速度。不僅如此,Vision One 更提供了單一主控台來呈現經過優先次序分類的警報,再配合引導式調查,讓企業非常容易掌握攻擊的完整範圍及衝擊。
企業也可採用 Trend Micro Service One™ 來提升自己的資安韌性,享受全天候的進階專屬支援、託管式 XDR 以及事件回應服務。這項服務內含解決方案的自動更新與升級、隨選教育訓練、最佳實務指南,以及網路資安專家諮詢。
Trend Micro Apex One™ 結合了威脅偵測、回應及調查於單一解決方案當中,能自動偵測及回應各種類型的威脅,例如:勒索病毒和無檔案式攻擊。Apex One 擁有進階工具可偵測及回應攻擊,並能與資安事件管理 (SIEM) 系統整合。
Trend Cloud One™ – Endpoint Security 與 Workload Security 透過整合的可視性、管理與角色導向存取控管來保護端點、伺服器及雲端工作負載。這些服務提供了特化的防護,專為您的多樣化端點及雲端環境而最佳化,消除採用多套單一面向解決方案的成本與複雜性。此外,Trend Cloud One™ – Network Security 解決方案提供了超越傳統入侵防護系統 (IPS) 的功能,並且內含虛擬修補及已入侵威脅偵測,是強大混合雲防護平台的一環。
入侵指標 (IoC)
如需本文當中提到的入侵指標,請參閱 此處。