攻擊者利用 COVID-19 危機的8大攻擊手法

(轉載自 CIO Taiwan 網站)

儘​組織可以採取大量措施來確保員工能夠裝備完善且安全無虞地展開遠距辦公，但各種威脅發動者(Threat Actor)已開始打著利用COVID-19/新冠病毒疫情的歪腦筋。惡意攻擊者從來不會放過任何一絲可以乘虛而入的機會，他們如今正在加緊行動，透過以COVID-19為主題的電子郵件、App、網站和社交媒體來傳播惡意軟體。以下即為威脅發動者用來攻擊組織的8大潛在威脅媒介和技術手法的分析要點。

攻擊者8大手法

1.網路釣魚電子郵件

2.惡意App

3.惡意網域

4.不安全的端點和終端使用者

5.供應商和第三方安全弱點

6.社交通訊App和居家辦公

7.鎖定健康照護組織和熱點

8.利用未來疫後副作用和復甦中的弱點發動攻擊 大規模遠距辦公的安全優先順序

1.網路釣魚電子郵件

電子郵件會持續成為對個人和組織的最大威脅媒介。長期以來，網路罪犯一直將全球時事運用在網路釣魚(Phising)活動上，以便提高其網路攻擊的成功率，當前引發全球大流行的新冠病毒自然也不例外地成為駭客發動網路釣魚攻擊的素材。

根據數位風險防護方案商 Digital Shadows 的研究報告指出，暗網(Dark Web)市場正在為COVID-19網路釣魚工具做廣告，該工具使用內藏惡意病毒的電子郵件附件，並偽裝成新冠病毒爆發的分佈圖，價格從200美元到700美元不等。

這些電子郵件的主題包括特定行業的分析師報告，以及在大流行時期，政府向提供口罩或其他有關營運和物流資訊的供應商提供官方健康建議的詳細資料。這些電子郵件中包含了從勒索軟體(Ransomware)和鍵盤記錄程式(Keylogger)到遠端存取木馬和資訊竊取惡意軟體(Information Stealer)的封包負載(Payload)。VMware Carbon Black 的一份威脅報告指出，2020年2月到3月間，隨著金融機構數量的大幅增加，勒索軟體的攻擊數量也增加了148%。

「我們的威脅研究團隊已經觀察到許多COVID-19惡意電子郵件活動，這些惡意活動會利用大眾對疫情的恐懼來嘗試說服潛在受害者點擊惡意附件或連結，」Proofpoint威脅研究與偵測資深總監 Sherrod DeGrippo 指出：「犯罪份子已經發出一波又一波的電子郵件，每次發送的數量從12封到20多萬封不等，而且整個惡意郵件活動的數量呈向上攀升的趨勢。最初，我們在全球只觀察到每天一場的惡意活動，現在我們每天會觀察到三、四場。」

DeGrippo表示，Proofpoint威脅團隊發現，大約有70%的電子郵件會發送惡意軟體，其他大部份的惡意電子郵件會透過諸如Gmail或 Office 365 等假冒登錄頁面來竊取受害者的憑證。Proofpoint並指出，當前數量不斷累積的新冠病毒相關電子郵件誘餌，已然成為該公司首次見識到由單一主題組合而成的最大攻擊類型集合。

電子郵件安全服務供應商Mimecast發表的《新冠病毒100天》報告發現，隨著整個大流行危機時期，透過巨集(Micro)與ISO/映像檔格式傳遞惡意軟體的趨勢減少，RAR壓縮檔成為大流行期間透過電子郵件傳遞惡意軟體之全球平均最常見的形式，其次是ZIP壓縮檔。在此期間，製造業和零售/批發業成為惡意攻擊平均最大的攻擊目標。

英國國家網路安全中心(National Cyber security center, NCSC)和世界衛生組織(World Health Organization, WHO)等機構皆已對宣稱來自官方機構的詐騙電子郵件發出安全公告。事實上，當前各種聲稱來自疾病管制與預防中心(the Centers for Disease Control and Prevention, CDC)的網路釣魚郵件已在四處散播。

根據英國國防、安全暨航太公司 BAE Systems 的報告指出，威脅發動者發送許多以COVID-19為主題的電子郵件，這些郵件包括來自專門以印度為攻擊目標之透明部落（亦稱APT36）組織、與俄羅斯有關的沙蟲(Sandworm)組織/奧林匹克破壞者(OlympicDestroyer)蠕蟲與Gamaredon組織，以及與中國有關的組織 Operation Lagtime 和 Mustang Panda APT，他們皆屬國家級進階持續威脅(Advance Persistent Threat, APT)攻擊組織。

根據次世代安全分析暨營運管理平台供應商Securonix的數據資料顯示，以刺激方案和政府救濟工人為核心主題的網路釣魚郵件迅速超過了專門以治癒和疫苗為核心主題的網路釣魚誘餌數量，這些網路釣魚郵件是在最初COVID-19主題攻擊激增之後出現的。

2.惡意App

儘管Apple已在其 App Store 中限制了COVID19相關App，同時Google也已從Play商店中刪除了一些App，但惡意App依舊可能對使用者構成威脅。網路威脅情報與調查平台商DomainTools發現了一個會慫恿使用者下載某一 Android App 的網站，該App提供有關COVID-19的追蹤和統計資訊，並包括熱區圖(Heatmap)等視覺化資料。然而，該App事實上已搭載一隻專門針對Android系統並名為COVIDLock的勒索軟體。其勒索信上會要求受害者務必在48小時內支付100美元的比特幣(Bitcoin)，並且威脅若不照辦就會將使用者聯絡人、照片和視訊以及手機記憶體悉數刪光光。據報導已發現一個解鎖令牌(Token)。

DomainTools報告指出，與COVIDLock相關的網域以前曾被用來散播與色情相關的惡意軟體。「透過對這個現在看起來已被禁止之惡意活動長期歷史的觀察，可以發現這個COVID-19詐騙攻擊只不過是惡意軟體幕後發動者的一項新的冒險和嘗試，」DomainTools資深安全工程師暨惡意軟體研究員 Tarik Saleh 在一份部落格貼文中表示。

郵件安全閘道器解決方案商Proofpoint還發現了一項惡意活動，該活動要求使用者像過去協助SETI@Home尋求外星智慧生物專案那樣，將自己電腦一部分的算力貢獻至COVID-19研究上，但事實上背後是將使用者算力用來協助資訊竊取惡意軟體透過BitBucket（某版本庫代管服務）四處傳播。

3.惡意網域

當前有許多用來傳播大流行相關資訊的新網站正如雨後春筍般地迅速湧現。但是，其中許多網站已淪為駭客劫持毫無戒心受害者的陷阱。根據全球即時網路威脅情報供應商 Recorded Future 的研究報告指出，過去幾週，每天都有數百個與COVID-19相關的網域名稱完成註冊。以色列網路安全方案商Checkpoint表明，COVID-19相關網域最終被發現是惡意網域的可能性，要比同期註冊的其他網域高出50%。新世代資安防護方案商Palo Alto 旗下威脅情報團隊 Unit 42 研究人員的進一步研究發現，2020年3月至4月之間，包含COVID相關關鍵字的120萬個新註冊網域中，至少有86,600個網域被歸類成高危險或惡意網域。

英國國家網路安全中心的報告指出，當前有許多假冒網站正在冒充美國疾病管制與預防中心，並建立與CDC網站位址類似的網域名稱，以獲取為資助假冒疫苗的密碼和比特幣捐款。

電腦與網路安全方案商 Reason Security 和反惡意軟體方案商Malwarebytes均曾對某個COVID-19疫情熱區圖網站進行安全通報，並指出該網站已被用來散播惡意軟體。該網站載入了AZORult惡意軟體，可竊取使用者憑證、支付卡號、cookie檔和其他基於瀏覽器的敏感性資料，並將其洩漏到命令和控制伺服器（Comand and Control Server, C&C Server）上。該惡意軟體還會搜尋加密貨幣錢包，可以擷取未經授權的螢幕截圖，並從受感染的機器中收集裝置資訊。

4.不安全的端點和終端使用者

隨著大量員工甚至整個企業遠距辦公了很長一段時間，那麼圍繞端點裝置與使用這些裝置之人們的風險就會隨之提升。如果員工無法定期更新自己的系統，那麼員工在家中使用的裝置可能會潛藏許多更易招致攻擊的弱點存在。

居家辦公很長一段時間也可能鼓勵使用者將幽靈應用程式(Shadow Application)下載到裝置上，或者會無視他們在辦公室中通常會遵循的政策。更少的商務旅行可能會減少員工在網路邊界遇到安全問題的機率，但這只會減少連接到不安全Wi-Fi網路或遺失裝置(如果他們真的待在家裡的話)的威脅。那些確實會外出到咖啡館處理公務的人可能免不了會有招致盜竊、遺失裝置或中間人攻擊(Man-in-the-Middle, MitM)等可能風險。

國際資訊科技資產管理者協會(International Association of Information Technology Asset Managers, IAITAM)建議，所有被帶回家的IT資產都要登記與追蹤，公司應提供有關如何在家使用資產的政策和建議（特別是如果人員習慣與家人共享裝置的話），要提醒使用者有關連接公共WiFi無線網路的政策，並確保他們能持續隨需更新自己的軟體。

5.供應商和第三方安全弱點

在自己所處的生態系統中，每個合作夥伴、客戶和服務供應商都可能遇到與自身組織相同的問題。請與第三方生態系統的關鍵合作廠商保持聯絡，以確保他們採取措施來確保遠距工作者的安全。

6.社交通訊App和居家辦公

新的工作方式為攻擊者帶來了新的攻擊機會。遠距辦公和協作工具的大量增加，意味著它們的安全性現已成為關注焦點。Zoom的迅速普及最終導致該公司凍結產品開發以解決安全方面的問題，根據北美數位媒體和廣播公司《Vice》傳媒指出，攻擊者對於Zoom和其他協作App相關之零時差漏洞攻擊(Zero-Day Exploit，亦稱零日漏洞攻擊)的興趣「達到最高點」。

據報導，安全公司Cyble曾表示能夠在暗網上以每個帳號不到1美分的價格購買超過500,000個Zoom帳號，有時甚至完全免費。這讓憑證填充(Credential Stuffing)攻擊的風險大開，也讓攻擊者得以加入線上會議的可能性大增。關於誰可以存取並加入線上會議的糟糕政策也可能導致不受歡迎客人的亂入，也就是會導致線上會議遭到騷擾與惡作劇的「Zoom轟炸」(Zoombombing)問題。這也可能導致敏感資訊的外洩；例如，《金融時報》(Financial Times)在獲得線上會議存取權後，洩露了英國《獨立報》(The Independent)減薪的消息。

同樣的，居家辦公也會帶來其他額外的安全威脅。根據(ICS)2國際資訊系統安全認證協會的調查，打從過渡到遠距辦公以來，有23%的組織發現網路安全事件有增加的跡象，有些組織甚至追蹤到兩倍的事件量。居家辦公也會導致使用老舊且不安全個人裝置存取公司網路的風險增加，如果員工在家中沒有專屬的私人工作空間，那麼室友、伴侶或孩子使用公司裝置或看到/聽到敏感資訊細節的風險也會升高。端點安全與資訊風險管理解決方案商 Absolute Software 報告指出，與COVID-19之前的水準相比，不但裝置晚了好幾個月才更新套用最新修補程式，而且企業端點上的敏感性資料項目數量也增加了46%。

7.鎖定健康照護組織和熱點

儘管駭客組織承諾不會這麼做，但健康照護組織受到攻擊的數量與頻率依舊愈來愈多。在大流行初期，美國伊利諾州公共衛生網站遭到勒索軟體攻擊，同時美國衛生與公共服務部(Department of Health and Human Services, HHS)遭受一起分散式阻斷服務(DDoS)攻擊未遂事件。幾個星期以來，許多尋求疫苗的醫療機構甚至研究機構不是遭到志在賺錢的犯罪份子的攻擊，就是被意欲搶占尋求長期解決方案先機之國家贊助攻擊者入侵。

投機取巧的犯罪分子或希望破壞營運的攻擊者更有可能將這個領域當作攻擊目標。英國國家網路安全中心和美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)發布了一份諮詢報告，指出APT攻擊組織如何針對健康照護機構、製藥公司、學術界、醫學研究組織和地方政府發動攻擊，以收集大量的個人資訊、智慧財產權(IP)和符合國家優先事項的情報。

各種型態和規模的健康照護組織可能面臨比以往更大的壓力，這可能會讓員工對他們所點擊的內容更加鬆懈。健康照護產業內的資安長(CISO)應提醒員工對可疑連結和文件保持警惕，以確保他們的營運能夠抵禦DDoS攻擊。

同樣的，一個地區受到疫情危機的影響愈嚴重，就愈有可能淪為威脅發動者的目標。網路安全暨防毒軟體公司 Bitdefender 的研究表明，當前網路犯罪分子莫不緊跟新冠病毒的疫情趨勢，他們首先在3月的大部分時間將攻擊矛頭指向歐洲，然後在4月隨著新確診病例數量的增加而將注意力轉向美國。

8.利用未來疫後副作用和復甦中的弱點發動攻擊

Mimecast預測，由於許多活動（例如2020年奧運會）被取消，未來的網路惡意活動很有可能會集中在如何利用退回費用的吸引力上，進而誘使使用者與惡意內容進行互動。

同樣的，即使在封鎖和迫在眉睫的危險結束之後，經濟仍可能會持續艱困好一陣子。預計鎖定金融紓困或政府產業救助的網路攻擊者會發動進一步的攻擊活動，甚至會有更多聚焦在企業裁員或減薪上的個人攻擊出現。

大規模遠距辦公的安全優先順序

Bitdefender全球網路安全研究員Liviu Arsene建議，組織應採取以下步驟來確保遠距辦公的安全與穩定：

• 增加VPN同時連接數，以容納所有遠距辦公的員工。

• 設置並支援視訊會議軟體，以確保穩定的影音連接。

• 確保所有員工都擁有有效且不會在30天內過期的憑證，畢竟遠端更改過期的 Active Directory 目錄服務憑證可能會很困難。

• 針對合法認可的應用程式和協作平台，發布相關的使用規則和準則，以便讓員工了解哪些工具是獲得批准、受到支援的，哪些工具則在禁用之列。

• 確定是否有逐步展開更新部署的程序，因為將所有更新程式同時分發給連接VPN的員工，可能會造成頻寬壅塞並影響企業內進和外送流量。

• 為所有端點啟用磁碟加密，以降低遭劫持裝置上資料外洩的可能風險。