資安小知識12月刊
資安大小事
【情資分享】Cisco旗下的威脅情資團隊Talos揭露自今年7月開始,未知的駭客針對台灣臉書(Facebook)企業用戶及廣告帳號,進行網路釣魚攻擊活動,攻擊者以侵犯版權為由,假冒特定公司的法律部門,寄送帶有偽裝成PDF檔案附件的釣魚郵件,一旦下載並執行偽造的PDF檔案後,受害者會在不知不覺中啟動資訊竊取程式LummaC2或Rhadamanthys,旨在竊取機敏資料。Cisco Talos觀察到以下事項:
- 針對台灣臉書企業用戶及廣告帳戶,進行網路釣魚攻擊。
- 電子郵件誘餌和虛假PDF檔案,其名稱旨在冒充特定公司的法律部門,試圖引誘受害者下載並執行惡意軟體。
- 活動中濫用Google的Appspot.com網域、短網址及Dropbox服務,將資訊竊取程式傳送到目標電腦上,以避免網路安全產品偵測。
- 觀察到攻擊者使用多種技術來逃避防毒偵測與沙箱分析,例如程式碼混淆、shellcode加密、在資源資料中隱藏惡意程式碼以將檔案大小擴展至超過700 MB,以及將LummaC2或Rhadamanthys資訊竊取程式嵌入到合法檔案中。
網路釣魚活動最初是透過一封包含惡意軟體下載連結的電子郵件,內容範本和偽造的PDF檔案中使用繁體中文,例如,一些檔名:「[Redacted] 的影片內容遭到侵犯版權.exe」、「版權侵權信息- [Redacted] Media Co Ltd.exe」、「版權侵權信息- [Redacted] Media Group Inc.exe」、「[Redacted] Online -宣布侵權.exe」等,旨在冒充特定公司的法律部門,試圖引誘受害者下載並執行惡意軟體。
LummaC2是一種惡意軟體,旨在從受感染的系統中竊取機敏資訊,可以針對系統詳細資訊、網頁瀏覽器、加密貨幣錢包和瀏覽器擴充功能。該惡意軟體用C語言編寫,在地下論壇上出售。為了避免檢測和分析,採用了各種混淆方法,並連接到C2伺服器以接收指令,並傳輸被盜資料。
Rhadamanthys是一種複雜的資訊竊取程式,於 2022年出現,並在地下論壇上出售。這種竊取惡意軟體能夠收集系統資訊、憑證、加密貨幣錢包、瀏覽器密碼、cookie和來自各種其他應用程式的資料,採用多種反分析技術,使分析工作變得複雜,並阻礙其在沙箱環境中的執行。
企業透過定期社交工程演練,進而對員工辨識和預防各種資安威脅做輔導資安宣導及教育訓練,提高員工資安意識,降低資安事件發生。
資安小管家
幾乎五成台灣人都遇過詐騙,識別詐騙為當務之急!
AI技術發展助益詐騙,散播速度更快且模仿更真實,例如透過深度偽造技術(deepfake)高度模仿老闆或家人的聲音與臉孔,取得受害者信任後誘使轉帳。犯罪者利用貪婪、恐懼、正義等人性透過不同訊息傳遞詐騙訊息,台灣詐騙金額一週被詐騙金額高達26.7億,財損驚人,如何消弭資訊落差,識別詐騙為當務之急!
常見詐騙電話、詐騙郵件樣式與手法:
如何避免?詐騙通常會提出「立即」的匯款需求,當下切勿心急,藉由日常雙方談話,提出共同話題來確認是否對方的真實性,例如:你上次推薦我哪一家牛排餐廳?
詐騙郵件
- 案例一:不肖人士假冒老闆E-mail向公司會計要求匯款至詐騙集團所提供的帳戶
- 案例二:歹徒假冒外國客戶E-mail要求變更匯款帳號,使公司匯款至詐騙集團所提供的帳戶
如何避免?
- 對於廠商突然變更受款帳號,最好的方式是再次以電話或傳真等其他方式跟廠商確認訊息正確性
- 電子郵件傳送訂單或出貨單使用加密處理,防止資料遭到竄改、仿冒
- 仔細查看對方郵件地址,確認是否為釣魚信件
