趨勢科技的研究人員發現一起針對多國政府機構的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。攻擊用郵件號稱來自中國國防部,但看起來是來自Gmail 帳號,而且也沒有使用中國名字。
圖一、偽造郵件
這份郵件包含了一個惡意附件檔,它會攻擊Microsoft Office(版本2003到 2010都受到影響)被修補超過一年的一個漏洞(CVE-2012-0158)。這漏洞攻擊碼會將後門程式植入到系統內,好從 IE 瀏覽器和 Microsoft Outlook 內竊取網站和電子郵件帳號的登入資料(它同時也會開啟一個正常的「假」檔案,讓攻擊目標不去懷疑發生了什麼惡意行為)。所有竊取的資料都會被上傳到位於香港的兩個IP地址。
這起APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊事件主要是針對歐洲和亞洲的政府官員。這封郵件被分別送到十六名歐洲國家的政府官員。郵件主旨(和附加文件)都會引起這些目標的興趣。此外,被偷的資料和偷竊來源都一致的指出這是針對使用像IE瀏覽器和Outlook等企業級軟體大型組織的目標攻擊。
不過值得注意的是,中國媒體也遭受到這波APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。後門程式本身也在現實世界中被偵測到。不過值得注意的是,它最頻繁的是出現在中國和台灣,還有部分侷限地出現在其他亞洲國家。
這起攻擊所使用的漏洞常被用於APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。知名的攻擊活動,像是Safe和Taidoor都有利用此一漏洞,它是一個經常被用在精密攻擊活動上的軟體漏洞。
趨勢科技產品可以全方位地偵測此一威脅。相關電子郵件和和C&C伺服器都已經被封鎖,惡意附件檔被偵測為TROJ_DROPPER.IK,後門程式被偵測為BKDR_HGDER.IK。另外,Deep Discovery可以透過ATSE(進階威脅掃描引擎)來智慧式的偵測惡意附件檔以保護我們的客戶。
@原文出處:Targeted Attacks Hit Asian, European Government Agencies作者:Jonathan Leopando
◎延伸閱讀
本片為APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。
還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中
