網路犯罪
「我們是不用槍的007!」趨勢科技與國際刑警組織 (INTERPOL) 再度聯手,破獲 1 千多台駭客幕後操縱伺服器
趨勢科技與其他民間機構最近參與了國際刑警組織 (INTERPOL) 的「Operation Synergia」執法行動,這項全球行動成功關閉了 1 千多台駭客集團的幕後操縱 (CC) 伺服器,並找到了從事網路釣魚、銀行惡意程式與勒索病毒活動的嫌犯。
趨勢科技在提供威脅情報來配合執法機關辦案方面擁有著輝煌的紀錄。最近,趨勢科技與其他民間機構共同參與了國際刑警組織 (INTERPOL) 的「Operation Synergia」執法行動,主要鎖定三種威脅型態 (勒索病毒、銀行木馬程式,以及網路釣魚),並且關閉了 1,300 台幕後操縱 (CC) 伺服器,這些伺服器取自各種殭屍網路、惡意程式連線、網路釣魚伺服器以及勒索病毒攻擊。這次的全球執法行動共有 55 個會員國參加,總計破獲了大約 70% 的已知惡意伺服器。
趨勢科技有幸負責提供這三類威脅的惡意 IP 位址,趨勢科技提供的威脅情報促成了 INTERPOL 的 63 份網路活動報告 (Cyber Activity Report) (圖 1),同時這項行動也搜查了 30 間民宅並找到了 70 名參與網路釣魚、惡意程式或勒索病毒活動的嫌犯。
。
2023 上半年,趨勢科技 Smart Protection Network™ 全球威脅情報網所偵測到的惡意 IP 位址大多跟勒索病毒有關 (77.3%) (圖 2)。偵測這些惡意 IP 位址並提供給執法機關 (如 INTERPOL) 參考,對於打擊像勒索病毒攻擊這樣的惡意犯罪有很大的貢獻,因為這類攻擊已演變成一種日益強大且嚴重的資安威脅。
惡意程式類型
在這次 INTERPOL 主導的行動中,趨勢科技負責協助找出連線到非重複 CC 伺服器的惡意程式類型。這些惡意程式當中有許多都會擔任勒索病毒的馬前卒,或者用來突破企業防線,所以攔截這些惡意程式對於防範勒索病毒感染至關重要。最常被用來與 CC 伺服器連線的惡意程式包括:資訊竊取程式、木馬程式、遠端存取工具 (RAT)、檔案下載器,以及殭屍網路 (圖 3)。
Operation Synergia 行動特別瞄準了一些駭客最常用的 RAT,包括:DCRat、Cobalt Strike、Remcos 及 AsyncRAT。至於駭客常用的資訊竊取程式則是:ArkeiStealer、Azorult、Raccoon 以及 Stealc。
Cobalt Strike
聲名狼藉的 Cobalt Strike 是趨勢科技本次提供給 INTERPOL 的銀行木馬程式、勒索病毒及網路釣魚活動的基礎架構中最常看到的惡意程式之一。雖說 Cobalt Strike 主要是設計給網路資安人員與紅隊演練用於合法滲透測試,但卻被網路駭客拿來在不同電腦之間橫向移動,還有作為幕後操縱通訊使用。Cobalt Strike 已經被多個惡名昭彰的勒索病毒家族所濫用,包括:Black Basta、BlackCat、Royal 以及 Rhysida (圖 4)。
AsyncRAT
除了載入器之外,一個名為「AsyncRAT」的遠端存取工具被發現與駭客的基礎架構有關。AsyncRAT 能讓駭客從遠存取及控制被駭入的系統,幫忙執行各種惡意活動,包括:竊取資料、暗中監視,以及執行更多的惡意程式。2023 年 12 月,趨勢科技 Managed XDR 團隊的研究人員分享了他們發現的多個 AsyncRAT 個案。根據其發現,AsyncRAT 二進位檔案的後門指令主要隨其內嵌的組態設定而定,其中一個指令就是側錄鍵盤,如圖 5 所示。
RedLine
2023 年對 RedLine 資訊竊取程式來說顯然是忙碌的一年,這是另一個趨勢科技在參與 Operation Synergia 過程當中觀察到的重要惡意程式。據觀察,RedLine 資訊竊取程式在 2023 一整年當中使用了各式各樣的技巧,包括:魚叉式網路釣魚行動、使用延伸驗證 (EV) 程式碼簽章憑證來部署勒索病毒檔案,以及搭上人工智慧 (AI) 的熱潮散播 RedLine 資訊竊取程式 (圖 6)。
CC 伺服器所在地點
趨勢科技也一直在協助 INTERPOL 的「網路融合中心」(Cyber Fusion Centre,簡稱 CFC),提供更多跨國 CC 伺服器位址供其參考 (圖 7),使其更完整掌握威脅的資訊。趨勢科技與該執法機關的合作瓦解了大量的殭屍網路伺服器,大範圍地癱瘓了網路犯罪活動,並使多名駭客遭到逮捕,見證了此次全球合作的成果,就像趨勢科技過去參與 INTERPOL 主導的 Africa Cyber Surge I 與 Africa Cyber Surge II 行動一樣 (在非洲某些地區)。
除此之外,趨勢科技也提供了各種 CC 伺服器的所在地點,包括:科威特、香港、新加坡、玻利維亞,以及其他幾個歐洲國家境內。儘管有些伺服器並未在此次行動中破獲 (這得視參與 Operation Synergia 的國家而定),但有了趨勢科技分享的監測資料,執法機關就能與會員國協調,請求他們協助打擊網路犯罪。
與國際刑警組織 (INTERPOL) 聯手逮捕不肖之徒
趨勢科技與全球執法機關合作已有很長的一段成功歷史。像這樣的公私部門合作,讓資安廠商及產業專家有機會貢獻其技能、資源及多年的經驗來協助調查並逮捕不肖之徒。隨著網路犯罪營運不斷演變及擴大 (尤其是垃圾郵件攻擊行動瘋狂地肆虐),執法機關的行動也必須跟著調整。他們必須擁有一套策略並採取我們所謂「有智慧的行動」,才能更大範圍地撒下天羅地網來偵測網路駭客的基礎架構,並轉化成可採取行動的情報,讓執法行動能在很短的時間內完成,這才是真的了不起。
多年來,趨勢科技與國際刑警組織 (INTERPOL) 的合作已促成了多起成功破獲的案例,例如 16shop 網路釣魚套件的瓦解,以及去年非洲網路犯罪集團 Africa Cyber Surge I 與 Africa Cyber Surge II 的癱瘓,還有在 2022 年的「Operation Killer Bee」執法行動逮捕了變臉詐騙 (BEC) 集團成員,以及在 2021 年的 「Operation Cyclone」當中逮捕了 REvil 和 Cl0p 集團成員。這樣的合作關係,將隨著我們致力保護今日連網世界安全的使命一直延續下去。