資安研究人員發現低成本的殭屍網路MasterMana

網路安全公司Prevailion揭露了一個稱為MasterMana的殭屍網路，作為長期進行網路金融犯罪之用，而由於MasterMana殭屍網路使用的木馬以及伺服器租用費用低廉，Prevailion提到這個有趣的現象，企業需要花越來越多的錢維護資安，但是網路攻擊的成本卻越來越低。

MasterMana殭屍網路被用來進行網路金融詐騙，透過入侵企業電子郵件，並感染系統打開後門，而主要目的便是要竊取用戶加密貨幣錢包資訊、另外還會偷取用戶憑證以及網路瀏覽歷史資料。Prevailion提到，這個網路攻擊行動與知名的網路犯罪組織Gorgon Group相關，Gorgon Group活躍多年，除了進行網路犯罪外，也常涉及情報收集的事件。安全人員估計MasterMana殭屍網路是從2018年12月開始，沒有針對特定的目標，無差別地把企業電子郵件地址當作攻擊目標。

攻擊鏈則從駭客寄發給企業的網路釣魚電子郵件開始，郵件會附加受感染的檔案，這些檔案都是微軟的格式，包含Word、Excel、PowerPoint與Publisher文件，當受害者打開文件後，便會透過Bitly連結轉址到惡意的部落格，這個部落格網頁含有惡意的JavaScript，當嵌入的JavaScript被解碼之後，實際則為一個VBS腳本，並將用戶的流量導向第三方網站服務Pastebin上。

駭客同樣結合利用JavaScript與VBS腳本，終止了剛剛用戶開啟的Word和Excel等程式實例，並且創建排程任務與修改登錄檔鍵值，為之後做準備。受害者將下載一個.NET dll，這個檔案會執行程序掏空（Process Hollowing）以及載入無檔案後門的動作。

研究人員提到，攻擊者一開始使用免費的遠端存取木馬Revenge Rat，但在一星期之後，改用另一個著名木馬Azorult，而這支木馬在網路論壇售價僅約100美元。Azorult功能強大，不只可以竊取用戶帳號密碼、Cookie、網路歷史紀錄以及加密貨幣錢包，還能列舉主機、上傳下載檔案，並拍攝受害者的螢幕截圖，這個木馬可以讓駭客部署礦工程式或勒索病毒。而MasterMana殭屍網路為了規避偵測，租賃虛擬專用伺服器，費用粗估約為60美元。

Prevailion表示，MasterMana殭屍網路屬於中等複雜度的攻擊，由於足夠複雜，所以可以避過第三方服務的自動偵測，但又不如APT等級的複雜度，因此能避免吸引資安人員對攻擊活動的關注。另外，MasterMana殭屍網路也凸顯了資安威脅的不對稱性，企業花費更多的錢建立安全解決方案，但是駭客卻只要利用一點費用就能進行攻擊行動。

研究人員提到，雖然MasterMana殭屍網路感染機制，仰賴半信任的第三方網站，但由於採用了通用的後門程式，因此企業只要更新端點解決方案，就能輕易地阻斷攻擊。