圖片來源: 

Prevailion

網路安全公司Prevailion揭露了一個稱為MasterMana的殭屍網路,作為長期進行網路金融犯罪之用,而由於MasterMana殭屍網路使用的木馬以及伺服器租用費用低廉,Prevailion提到這個有趣的現象,企業需要花越來越多的錢維護資安,但是網路攻擊的成本卻越來越低。

MasterMana殭屍網路被用來進行網路金融詐騙,透過入侵企業電子郵件,並感染系統打開後門,而主要目的便是要竊取用戶加密貨幣錢包資訊、另外還會偷取用戶憑證以及網路瀏覽歷史資料。Prevailion提到,這個網路攻擊行動與知名的網路犯罪組織Gorgon Group相關,Gorgon Group活躍多年,除了進行網路犯罪外,也常涉及情報收集的事件。安全人員估計MasterMana殭屍網路是從2018年12月開始,沒有針對特定的目標,無差別地把企業電子郵件地址當作攻擊目標。

攻擊鏈則從駭客寄發給企業的網路釣魚電子郵件開始,郵件會附加受感染的檔案,這些檔案都是微軟的格式,包含Word、Excel、PowerPoint與Publisher文件,當受害者打開文件後,便會透過Bitly連結轉址到惡意的部落格,這個部落格網頁含有惡意的JavaScript,當嵌入的JavaScript被解碼之後,實際則為一個VBS腳本,並將用戶的流量導向第三方網站服務Pastebin上。

駭客同樣結合利用JavaScript與VBS腳本,終止了剛剛用戶開啟的Word和Excel等程式實例,並且創建排程任務與修改登錄檔鍵值,為之後做準備。受害者將下載一個.NET dll,這個檔案會執行程序掏空(Process Hollowing)以及載入無檔案後門的動作。

研究人員提到,攻擊者一開始使用免費的遠端存取木馬Revenge Rat,但在一星期之後,改用另一個著名木馬Azorult,而這支木馬在網路論壇售價僅約100美元。Azorult功能強大,不只可以竊取用戶帳號密碼、Cookie、網路歷史紀錄以及加密貨幣錢包,還能列舉主機、上傳下載檔案,並拍攝受害者的螢幕截圖,這個木馬可以讓駭客部署礦工程式或勒索病毒。而MasterMana殭屍網路為了規避偵測,租賃虛擬專用伺服器,費用粗估約為60美元。

Prevailion表示,MasterMana殭屍網路屬於中等複雜度的攻擊,由於足夠複雜,所以可以避過第三方服務的自動偵測,但又不如APT等級的複雜度,因此能避免吸引資安人員對攻擊活動的關注。另外,MasterMana殭屍網路也凸顯了資安威脅的不對稱性,企業花費更多的錢建立安全解決方案,但是駭客卻只要利用一點費用就能進行攻擊行動。

研究人員提到,雖然MasterMana殭屍網路感染機制,仰賴半信任的第三方網站,但由於採用了通用的後門程式,因此企業只要更新端點解決方案,就能輕易地阻斷攻擊。


Advertisement

更多 iThome相關內容