按 Enter 到主內容區
:::

TWCERT-電子報

:::

US-CERT與 FBI聯合發布「雪崩行動」(Avalanche)警告資訊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-03-24
  • 點閱次數:400

影響系統: Microsoft Windows 概述: 「雪崩行動」(Avalanche)是指一個大型的全球網路犯罪行動,網路罪犯掌握以 Windows 為基礎之伺服器基礎架構成為殭屍網路,用以進行網路釣魚、散播惡意軟體和 Money Mules 計劃等。 美國國土安全部(DHS)與聯邦調查局(FBI)聯合發表技術警報以提供有關「雪崩行動」(Avalanche)的進一步信息。 內容: 網路罪犯利用掌握的「雪崩行動」(Avalanche)殭屍網路基礎設施來分散各種變種的惡意軟體給受害者,包括被針對的40多個主要金融機構。 而受害者可能已遭竊取其敏感的個人信息(例如,用戶帳戶憑據),其遭駭系統也可能被用於進行其他惡意活動,例如發起阻斷服務(DoS)攻擊或將惡意軟體變種散播給其他受害者的電腦。 此外,「雪崩行動」(Avalanche)基礎設施用於運行 Money Mules 計劃,罪犯招募人員以從事涉及運輸商品和洗錢等欺詐行為。 「雪崩行動」(Avalanche)使用 Fast Flux DNS 攻擊手法,一種隱藏犯罪伺服器的技術,不斷地改變遭駭系統的網路DNS作為Proxy,以避免被查獲。 以下為相關惡意軟體系列: ● Windows-encryption Trojan horse (WVT) (aka Matsnu, Injector,Rannoh,Ransomlock.P) ● URLzone (aka Bebloh) ● Citadel ● VM-ZeuS (aka KINS) ● Bugat (aka Feodo, Geodo, Cridex, Dridex, Emotet) ● newGOZ (aka GameOverZeuS) ● Tinba (aka TinyBanker) ● Nymaim/GozNym ● Vawtrak (aka Neverquest) ● Marcher ● Pandabanker ● Ranbyus ● Smart App ● TeslaCrypt ● iBanking Trusteer App Trojan ● Xswkit 下列為「雪崩行動」(Avalanche)中提供 botnet 之間通訊的 Fast Flux 殭屍網路所用之惡意軟體 ● TeslaCrypt ● Nymaim ● Corebot ● GetTiny ● Matsnu ● Rovnix ● Urlzone ● QakBot (aka Qbot, PinkSlip Bot) 影響: 感染雪崩相關惡意軟體的系統可能遭受惡意活動,包括盜取用戶憑證和其他敏感數據(例如銀行和信用卡信息)。 一些惡意軟體具有加密用戶檔案的能力,並且要求受害者支付贖金以重新獲得對這些檔案的存取。此外,惡意軟體可能允許罪犯未經授權遠端存取受感染的電腦,可能被用於進行分散式阻斷服務(DDoS)攻擊。 解決方案: 建議用戶採取以下操作來修復與「雪崩行動」(Avalanche)相關的惡意軟體感染: ● 使用和維護防毒軟體 - 防毒軟體可識別並保護您的電腦免受大多數已知病毒的攻擊。 儘管「雪崩行動」(Avalanche)部分旨在逃避檢測,但安全公司仍在不斷更新其軟體以應對這些高級威脅。 因此,重要的是要保持您的防病毒軟體是最新的。如果您懷疑自己可能是Avalanche惡意軟體的受害者,請更新防病毒軟體定義並進行全系統掃描。 ● 避免點擊電子郵件中的超連結 - 攻擊者會相當熟練地讓釣魚郵件看起來合法,用戶應透過在新瀏覽器中輸入連結來確保是否合法。 ● 更改密碼 - 您的原始密碼可能在感染期間已被盜用,因此您應該更改它們。 ● 保持作業系統和應用程式軟體為最新 - 安裝軟體修補程式,以便攻擊者無法利用已知的問題或漏洞;如果可以,應該啟用作業系統的自動更新。 ● 使用反惡意軟體工具 - 使用合法程序識別和刪除惡意軟體可以幫助消除感染。 ● 下面提供大致可用之列表(本中心並不針對任何特定的產品或供應商) ESET Online Scanner https://www.eset.com/us/online-scanner/ (link is external) F-Secure https://www.f-secure.com/en/web/home_global/online-scanner (link is external) McAfee Stinger http://www.mcafee.com/us/downloads/free-tools/index.aspx (link is external) Microsoft Safety Scanner https://www.microsoft.com/security/scanner/en-us/default.aspx (link is external) Norton Power Eraser https://norton.com/npe (link is external) Trend Micro HouseCall http://housecall.trendmicro.com/ 參考: https://www.us-cert.gov/sites/default/files/publications/money_mules.pdf http://whttps://www.microsoft.com/security/scanner/en-us/default.aspxww.bankinfosecurity.com/avalanche-group-linked-to-fraud-a-2573

 

參考連結:

https://www.us-cert.gov/ncas/alerts/TA16-336A

相關連結

  1. https://www.us-cert.gov/ncas/alerts/TA16-336A
回頁首