新聞標題：越南駭客透過惡意廣告鎖定臉書企業帳號，散布 Ducktail 發動攻擊
新聞網址：https://www.ithome.com.tw/news/158628

基礎知識

社交工程攻擊(Social Engineering)

• 定義

  • 利用人的弱點，例如情感或信任，來騙取個人資料或使受害者採取某些行動。

• 範例

  • 一個擴充程式可能獲得存取所有網頁資料的權限，而不僅僅是特定網站或特定元素

C2 (Command and Control Server)

• 定義

  • 用於控制受害者電腦的遠端伺服器。

• 範例

  • 如果一個應用程式只需要讀取文件，則不應該有寫入或修改文件的權限

執行鏈 (Execution Chain)

• 定義

  • 一系列的行動或事件，導致特定的結果或結束。

• 範例

  • 駭客透過壓縮檔散布LNK檔案→觸發PowerShell指令碼→從C2下載Ducktail和誘餌文件

事件整理

目標

• 臉書企業帳號

• 抖音企業帳號

• Google 企業帳號

策略

• 社交工程攻擊

  • LinkedIn 偽冒人資

  • 提供假工作機會

• 惡意軟體

  • 下載指定的檔案

    • 使用 Windows 電腦開啟

  • Ducktail

    • 由.NET打造

  • Office 文件、PDF檔案

  • 打造成 Excel 的擴充套件（XLL）

  • 大小

    • 70 MB

• 2022年

  • 裁員

    • 範圍人數變加

• 憑證

  • 越南憑證供應商的簽章

通訊平臺

• Telegram

  • 架設 C2

• Trello

• Discord

• Dropbox

• iCloud

• OneDrive

• MediaFire

防止受害組織取回帳號

• 濫用加密通知（Encrypted notifications）

後果

• 變更企業帳號設定

  • 將自己的電子郵件信箱加入受害組織的臉書管理成員

  • 竄改臉書帳號的密碼或電子郵件信箱

• 盜取 LinkedIn 帳號

• 帳密資料流入越南地下市集

  • 以35萬至800萬越南盾（相當於15至340美元）

釣魚

• 網站、信件

• AI 生成式工具

  • 市場行銷工具 Adplexity、ClickMinded 的名義

  • 散布 DuckTail

    • 多階段的執行鏈

• Google翻譯

  • 與求職者用英文交談

• 假冒食品公司億滋國際（Mondelez International）

  • 求求職者從iCloud下載惡意檔案

Ducktail

• 多種程式語言打造作案工具

  • JavaScript 打造惡意瀏覽器擴充套件

  • Node.js為基礎的可執行程式（Eletron應用程式）

  • 使用 Python、.NET 打造惡意程式的可執行檔

• 範圍

  • 臉書廣告

  • LinkedIn 徵才

  • 接案網站 Upwork、Freelancer

  • WhatsApp

• 上鉤的誘餌種類

  • ChatGPT、Google Bard、Meta Threads

• 多階段的執行鏈

  • 透過壓縮檔散布LNK檔案

  • 觸發就有可能執行 PowerShell 指令碼檔案

  • 從 C2 下載、執行 Ducktail 和誘餌文件檔案

  • 使用 RestartManager 終止特定的處理程式

    • 為了能夠成功竊取瀏覽器的資料

Duckport

• Ducktail 變種

  • 在受害電腦竊取更多資料

• 更大的危害

  • 鎖定操作 Meta 企業平臺的人士

    • 自動發布含有特定關鍵字的廣告

    • 接收攻擊者的指令

    • 自動產生及發布詐欺廣告

    • 關閉各式通知訊息讓受害組織不易察覺

• 程式碼的寫作風格不同

  • 背後的駭客成員沒有交集

小試身手

這些駭客主要透過哪個平台

進行社交工程攻擊

• A) Facebook

• B) Twitter

• C) LinkedIn

• D) Instagram

• 答案

  • C) LinkedIn

Ducktail 的惡意程式檔案大小大約是多少

• A) 7 MB

• B) 17 MB

• C) 70 MB

• D) 700 MB

• 答案

  • C) 70 MB

Ducktail是用什麼語言開發的

• A) Python

• B) JavaScript

• C) .NET

• D) Java

• 答案

  • C) .NET

為了能夠成功竊取瀏覽器的資料，

攻擊者使用了哪個程式？

• A) RestartManager

• B) FileManager

• C) BrowserGuard

• D) DuckManager

• 答案

  • A) RestartManager

新變種 Duckport 的主要目標

是什麼平台的使用者

• A) Apple

• B) Microsoft

• C) Meta

• D) Google

• 答案

  • C) Meta