iT邦幫忙

2023 iThome 鐵人賽

DAY 17
1
影片教學

資安 Vtuber 語野飛陪你讀新聞學資安知識系列 第 17

Day17 資安 Vtuber 讀新聞:滑 FB 找工作也會個資外洩(越南駭客透過惡意廣告鎖定臉書企業帳號,散布Ducktail發動攻擊)

  • 分享至 

  • xImage
  •  

新聞標題:越南駭客透過惡意廣告鎖定臉書企業帳號,散布 Ducktail 發動攻擊
新聞網址:https://www.ithome.com.tw/news/158628
Yes

基礎知識

社交工程攻擊(Social Engineering)

  • 定義

    • 利用人的弱點,例如情感或信任,來騙取個人資料或使受害者採取某些行動。
  • 範例

    • 一個擴充程式可能獲得存取所有網頁資料的權限,而不僅僅是特定網站或特定元素

C2 (Command and Control Server)

  • 定義

    • 用於控制受害者電腦的遠端伺服器。
  • 範例

    • 如果一個應用程式只需要讀取文件,則不應該有寫入或修改文件的權限

執行鏈 (Execution Chain)

  • 定義

    • 一系列的行動或事件,導致特定的結果或結束。
  • 範例

    • 駭客透過壓縮檔散布LNK檔案→觸發PowerShell指令碼→從C2下載Ducktail和誘餌文件

事件整理

目標

  • 臉書企業帳號

  • 抖音企業帳號

  • Google 企業帳號

策略

  • 社交工程攻擊

    • LinkedIn 偽冒人資

    • 提供假工作機會

  • 惡意軟體

    • 下載指定的檔案

      • 使用 Windows 電腦開啟
    • Ducktail

      • 由.NET打造
    • Office 文件、PDF檔案

    • 打造成 Excel 的擴充套件(XLL)

    • 大小

      • 70 MB
  • 2022年

    • 裁員

      • 範圍人數變加
  • 憑證

    • 越南憑證供應商的簽章

通訊平臺

  • Telegram

    • 架設 C2
  • Trello

  • Discord

  • Dropbox

  • iCloud

  • OneDrive

  • MediaFire

防止受害組織取回帳號

  • 濫用加密通知(Encrypted notifications)

後果

  • 變更企業帳號設定

    • 將自己的電子郵件信箱加入受害組織的臉書管理成員

    • 竄改臉書帳號的密碼或電子郵件信箱

  • 盜取 LinkedIn 帳號

  • 帳密資料流入越南地下市集

    • 以35萬至800萬越南盾(相當於15至340美元)

釣魚

  • 網站、信件

  • AI 生成式工具

    • 市場行銷工具 Adplexity、ClickMinded 的名義

    • 散布 DuckTail

      • 多階段的執行鏈
  • Google翻譯

    • 與求職者用英文交談
  • 假冒食品公司億滋國際(Mondelez International)

    • 求求職者從iCloud下載惡意檔案

Ducktail

  • 多種程式語言打造作案工具

    • JavaScript 打造惡意瀏覽器擴充套件

    • Node.js為基礎的可執行程式(Eletron應用程式)

    • 使用 Python、.NET 打造惡意程式的可執行檔

  • 範圍

    • 臉書廣告

    • LinkedIn 徵才

    • 接案網站 Upwork、Freelancer

    • WhatsApp

  • 上鉤的誘餌種類

    • ChatGPT、Google Bard、Meta Threads
  • 多階段的執行鏈

    • 透過壓縮檔散布LNK檔案

    • 觸發就有可能執行 PowerShell 指令碼檔案

    • 從 C2 下載、執行 Ducktail 和誘餌文件檔案

    • 使用 RestartManager 終止特定的處理程式

      • 為了能夠成功竊取瀏覽器的資料

Duckport

  • Ducktail 變種

    • 在受害電腦竊取更多資料
  • 更大的危害

    • 鎖定操作 Meta 企業平臺的人士

      • 自動發布含有特定關鍵字的廣告

      • 接收攻擊者的指令

      • 自動產生及發布詐欺廣告

      • 關閉各式通知訊息讓受害組織不易察覺

  • 程式碼的寫作風格不同

    • 背後的駭客成員沒有交集

小試身手

這些駭客主要透過哪個平台

進行社交工程攻擊

  • A) Facebook

  • B) Twitter

  • C) LinkedIn

  • D) Instagram

  • 答案

    • C) LinkedIn

Ducktail 的惡意程式檔案大小大約是多少

  • A) 7 MB

  • B) 17 MB

  • C) 70 MB

  • D) 700 MB

  • 答案

    • C) 70 MB

Ducktail是用什麼語言開發的

  • A) Python

  • B) JavaScript

  • C) .NET

  • D) Java

  • 答案

    • C) .NET

為了能夠成功竊取瀏覽器的資料,

攻擊者使用了哪個程式?

  • A) RestartManager

  • B) FileManager

  • C) BrowserGuard

  • D) DuckManager

  • 答案

    • A) RestartManager

新變種 Duckport 的主要目標

是什麼平台的使用者

  • A) Apple

  • B) Microsoft

  • C) Meta

  • D) Google

  • 答案

    • C) Meta

上一篇
Day16 資安 Vtuber 讀新聞:內部員工也是企業中的威脅(前員工意圖爆料,特斯拉7.5萬員工個資外洩)
下一篇
Day18 資安 Vtuber 讀新聞:你也會下載測試版本 Beta 版本的 APP 嗎(駭客以Beta版App規避軟體市集檢查機制散布惡意程式)
系列文
資安 Vtuber 語野飛陪你讀新聞學資安知識30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言