由黑客組織RTM發動的加密勒索攻擊活動,被Kaspersky的專家偵測到涉及各式各樣的工具,並把它命名為Quoter,當中還包含了銀行木馬程式和遠端存取工具,令受害者可能遭遇加密勒索以外的攻擊。
攻擊第一步:釣魚電郵
這次是Kaspersky首次遇到Quoter,除了惡意程式以外,還涉及合法的遠端存取工具(LiteManager、RMS或其他。攻擊以最基本的網絡釣魚開始,在電郵的附件其實是Trojan-Banker.Win32.RTM。為了讓收件者打開附件,攻擊者會以吸引公司收件者的電郵主旨作為誘餌,內容包括:
- 傳票
- 退款要求
- 交易文件
- 上個月的文件副本
木馬程式本身並非新版本,自2018年開始在Kaspersky的報告中已是頭10位銀行惡意程式,如果收信者點擊附件和安裝惡意程式,便會下載額外的黑客工具到電腦之內。
下一步是網絡罪犯搜索網絡內會計部員工的電腦,嘗試把遠端銀行系統更改為他們自己的銀行帳號資料,而這種行為也是RTM組織常用的手法。而作為後備計劃,他們還會發動另一款木馬程式Quoter(Trojan-Ransom.Win32.Quoter),名稱由來是因為在被加密的檔案編碼內加入了電影的對白。
一如現代的加密勒索程式的運作,RTM也會盜竊受害者的資料,如果受害者遲交贖款,便會威脅把資料公開。
攻擊的目標
暫時已知的受害者超過10家公司,全部在俄羅斯營運,而且全屬都是運輸和金融業,然而受害者的數字可能會更高,從初次感染到開始加密勒索,到攻擊曝光之間可能數個月時間,在這段時間攻擊者會探索受害者的網絡,尋找有遠端銀行系統的電腦。攻擊可能會在其他地區出現(Quoter內的電影對白是英文,顯示攻擊者可能具備國際視野),更多詳細惡意程式編碼和IOCs可以瀏覽Securelist的文章。
防範類似的網絡威脅
一如以往,有效的防護由員工教育開始,因為大部份攻擊都由網絡釣魚電郵開始,如果同事能察覺到危險,就能減少掉入危害到公司的一般攻擊陷阱,機構可以透過專門的遙距培訓平台進行教育工作。
此外,所有員工的電腦,尤其裝有銀行系統的裝置,都需要可靠的保安方案去偵測已知和未知的新網絡威脅,Kaspersky的產品能同時偵測RTM銀行木馬和Quoter加密勒索程式。如果想追蹤入侵者在網絡內的活動,以使借合法工具進行惡意行為,便需要進階的工具應對複雜的威脅。
資料來源:Kaspersky Blog