惡意程式Emotet-TrickBot攻擊聯合國人員

惡名昭彰的惡意程式 Emotet 最新的攻擊活動,目標是聯合國 600 多名員工,並假借挪威的名義作為誘餌,實際上是傳播 TrickBot 木馬程式的針對性攻擊。

訛稱簽署的協議有問題
根據研究人員透,這次網絡釣魚活動是偽冒挪威常駐代表團的名義發送,這團隊是國家位於紐約的代表,而釣魚電郵是冒名向 600 多位聯合國員工及官員發送,聲稱一份已簽署的協議附件存在問題,當受害者打開文件時會出現彈出式的警告字句,聲稱該文件只支援桌面或平板版本的 Microsoft Office Word,要求用戶點擊「Enable Content」,如果用戶不虞有詐點擊,其實是啟動惡意的 Word macro,在背景暗地裡下載和安裝 Emotet,目的是盜取登入的資料。

Emotet 佔 2019 年已確認惡意程式事故 20%
Emotet 在 2014 年「初出道」時是一款銀行木馬程式,然後慢慢持續進化,終於成為一款功能全面的惡意行為傳播工具,能夠在受害者裝置上安裝一系列的惡意程式,包括盜取資料、收集電郵、自我傳播機制和加密勒索軟件,有研究所的年度報告指出,在 2019 年已確定惡意程式事故中,Emotet 佔了當中的 20%。

在這次針對聯合國的活動中,Emotet 會嘗試透過濫發電郵去增加受害者,並在第二階段下載惡意內容,包括 TrickBot 木馬程式,它能夠收集受感染裝置上的不同密碼和登入資料。此外,有研究人員亦發現 Emotet 有活動利用瑞典的環保份子;時代周刊風雲人物 Greta Thunberg 作為誘餌。

在第二階段攻擊的 TrickBot 是於 2016 年開發的銀行惡意程式,然後又再被開發為全功能、模組化的犯罪程式方案,最近發現到它一款新改良的後門程式 PowerTrick,它同時與 Ryuk 加密勒索程式有關連,不過暫時沒有證據顯示 Ryuk 已進入聯合國的網絡。

大機構只聚焦端點防護
研究人員向傳媒表示,對於擁有貴重資料或重要設施的大機構,只在端點上執行防毒程式令他感到驚訝,他在聲明中提到,即使覆蓋整個網絡仍然可能有漏網之魚,有攻擊者曾成功釣魚取得登入資料並再次進入機構的網絡,認為這些機構低估了現代網絡罪犯的精密程式,以及數據對他們的價值。

資料來源:Threat Post