尚不為外界所知的全新駭侵組織發動新一波全球性釣魚攻擊

2021 / 05 / 05

編輯部

資安廠商 Mandiant 日前發表調查報告，指出該公司旗下的資安專家，發現一波全新釣魚攻擊活動自去年年底開始進行；該攻擊行動同時使用三種不同的惡意軟體串連，針對全球目標發動攻擊，全球各公私單位受害者已達 50 個以上。

Mandiant 在報告中說，這波釣魚攻擊行動分成兩波進行，分別在 2020 年 12 月 2 日與 12 月 11 日到 18 日之間發動攻擊，幕後的駭侵團體在 Mandiant 的代稱為 UNC2529，其中的 UNC 表示「無法歸類」（uncategorized），表示這是一個尚不為外界所知的全新駭侵組織。

Mandiant 分析這兩波攻擊行動的特徵，一開始時遇到很大的阻礙，主要原因在於駭侵者使用的惡意軟體擁有多種可逃避偵測的技術；不過 Mandiant 還是找出其攻擊手法。首先，UNC2529 針對攻擊目標發動魚叉式釣魚攻擊信，内含一個稱為「DOUBLEDRAG」的 Javascript 下載程式的連結，或是連到一個稱為「DOUBLEDROP」，内含惡意巨集程式，可從駭侵控制伺服器下載後續攻擊程式碼的 Excel 檔；而 DOUBLEDROP 又含有一個稱為 DOUBLEBACK 的後門，可用於下載更多惡意軟體。

此外，根據 Mandiant 的分析，UNC2529 用於這兩波攻擊的基礎架構，也相當可觀；至少動用了 50 個不同的網域名稱來寄送釣魚信件；而攻擊對象之廣也是罕見的。據 Mandiant 統計，第一波攻擊有 74% 的攻擊對象在美國境内，其中包括服務業、金融業、醫療業、零售業、軍用航太業、製造業、政府組織、教育機構、運輸業等；另外各有 13% 的攻擊對象分布於歐非地區和亞太地區，受害者同樣也遍及各種産業。第二波攻擊對象中，歐非地區的占比提高到 22％，美國和亞太區的占比則為 68% 與 11%，受害者則出現了前一波沒有出現的能源産業和電信業。

本文轉載自TWCERT/CC。

釣魚攻擊 UNC2529 DOUBLEDRAG DOUBLEDROP DOUBLEBACK