《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

惡意郵件利用西藏事件作誘餌來進行目標攻擊

 就是這些信,讓日印藏被駭
1.印度軍事企業收到1封關於導彈防衛系統
2.西藏運動組織收到有關自焚的新聞
3.日本企業在311地震後收到關於輻射觀測報告。
相關報導:日印藏網諜活動 陸駭客有關聯
趨勢科技最近分析了一連串利用熱門社會政治議題來發送給特定使用者的電子郵件。其中一個跟德國總理對在西藏拉薩的抗議活動所做的發言有關。寄件者欄位顯示這封信來自澳洲西藏委員會(ATC,Australian Tibet Council)裡的重要人物。不過這封電子郵件當然是偽造的,電子郵件地址也是剛剛才建立用來假冒ATC人員。它還包含了一份聲稱跟發言相關的DOC檔案。一旦下載這個被偵測為TROJ_ARTIEF.AE的檔案,它會攻擊微軟Word的一個漏洞(CVE-2010-3333),接著產生被偵測為TSPY_MARADE.AA的檔案。一旦TSPY_MARADE.AA被執行起來,就會收集網路和系統資訊,再將這些偷來的資料上傳到惡意網站。 

惡意郵件利用西藏事件作誘餌來進行目標攻擊

 

趨勢科技收到的另一個樣本裡含有更多的內容。它聲稱是來自西藏婦女聯合會(Tibetan Women’s Association Central),裡面包含了TWA在第56屆聯合國婦女地位委員會會議上所做的演說。就跟第一個樣本一樣,它帶有一個內附完整演說的DOC檔案。這個附件檔被偵測為TROJ_ARTIEF.CP,並且會產生惡意軟體TROJ_REDOSDR.AH。

 

惡意郵件利用西藏事件作誘餌來進行目標攻擊

 根據趨勢科技的分析,上述TWA電子郵件樣本是直接寄給知名西藏人物的電子郵件地址,使我們確信這些信件是目標攻擊的一部分。兩個樣本都利用特定政治議題作為社交工程陷阱( Social Engineering)誘餌。趨勢科技還注意到,這些攻擊的幕後黑手對於西藏獨立運動的重要人物和組織有一定程度的了解。這些郵件利用垃圾郵件(SPAM)組織做偽裝,好讓目標收件者不會懷疑。這是一種在垃圾郵件發送或是目標攻擊活動裡常見的伎倆,並不代表這些組織已經被入侵了。

 下面是趨勢科技截獲跟這一事件有關的 16 封電子郵件和惡意附件的列表。然而,這份列表並不一定代表全部,是否還有其他變種仍有待觀察。

 

郵件主旨附件檔名附件格式
Germany Chancellor Again Comments on Lhasa protests(德國總理再次對拉薩抗議事件提出評論)Germany Chancellor Again Comments on Lhasa Protests.doc.DOC
TWA’s speech in the meeting of the United Nations Commission for Human Rights(TWA在聯合國委員會上發表有關人權的演說)TheSpeech.doc.DOC
Fowarding of TWA message(轉寄TWA郵件)English_Final_Statement.doc, English_Final_Statement_1.doc.DOC
Open Letter To President Hu(對胡主席的公開信)Letter.doc.DOC
Tibetan environmental situations for the past 10 years(西藏在過去十年來的狀況)Tibetan environmental statistics.xls.XLS
An Urgent Appeal Co-signed by Three Tibetans(三位藏族的緊急呼籲)Appeal to Tibetans To Cease Self-Immolation.doc.DOC
About TYC Centrex Notice and New email id of TYC Centrex(關於西藏青年會中央執行委員的通知和他的新電子郵件帳號)Centrex_Contact.doc.DOC
[Tanc] JOINS US: March 10, Saturday: 53rd Commemoration of the 1959 Tibetan National Uprising Day.(加入我們:三月10日星期六:1959西藏抗暴行動53週年紀念)march10.doc.DOC
10th march speech(三月10日演說)10th March final.doc, 10th March final.pdf.DOC, .PDF
FW: Call for End to Burnings(呼籲停止焚燒)Support List.xls.XLS
Public Talk by the Dalai Lama _ Conference du Dala_ Lama Ottawa, Saturday, 28th April 2012(達賴喇嘛的公開演說,渥太華, 2012年4月28日星期六)Public Talk by the Dalai Lama.doc.DOC
Bonafide Certificate of Miss Tenzin Tselhatentselha.zip (contains tentselha.jpg, tentselha.jpg.lnk, tentselha1.jpg)ZIP (包含了LNK, EXE, JPG)
TWA mourns the self immolation deaths of two female protesters this past weekend(TWA哀悼在過去這個禮拜自焚的兩位女性抗議者)TWA mourns the self immolation deaths of two female protesters.doc.DOC
Self-Immolations: New heightened form of Non Violent protests in Tibet(自焚:西藏新的非暴力抗議形式)TWA looks back at the aftermath and the undercurrents of the 52 years of Chinese rule in Tibet.doc.DOC
Arrest and protests mar ‘Losar’ week in Tibet.emlan appealing letter to the United Nations.doc.DOC
UN Human Rights Council publishes written statement on discrimination in Tibet.eml(聯合國人權委員會發表西藏種族歧視問題的書面聲明)G1210456.doc.DOC
Students For A Free Tibet !.eml(為了西藏自由的學生們)Action Plan for March 10th.doc.DOC

 

 

上述兩個樣本所表現出來的感染行為跟利用社社交工程陷阱( Social Engineering)誘餌都跟之前利用NBA球星林書豪的攻擊很相似(中文請看:《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式)。如果你看一下趨勢科技在2008年就開始對於目標攻擊所寫的文章,像是這裡這裡所提到的,你會發現從過去到現在的目標攻擊活動都有其本質上的相似之處。每次攻擊都是用惡意DOC文件來攻擊微軟Word漏洞以植入資料竊取惡意軟體

 

如果你在收件夾裡看到任何上述的郵件,請立刻刪掉。如果你已經打開或下載了附加檔案,請聯絡趨勢科技支援團隊。規則一,永遠要小心的打開你的電子郵件,尤其是要開啟和下載附件檔時。就算是從所謂可信任來源的郵件,也都要將信將疑,因為犯罪分子都很狡猾,可能會偽造電子郵件地址,讓它看起來是合法的。

 趨勢科技會繼續監控這次攻擊,有新的分析也會更新這篇部落格文章。

  @原文出處:Malicious Email Campaign Uses Current Socio-Political Events as Lure for Targeted Attack作者:Ivan Macalintal (威脅研究經理)

 

@延伸閱讀

認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)
傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰
<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

打開員工滿意度調查 PDF 附件,後門程式在裡面!!
邁向更安全的工業控制系統(ICS)
鎖定單一對象的惡意程式攻擊有多高超?
專偷商業機密的Nitro 目標攻擊背後的意義
APT 進階持續性滲透攻擊:目標攻擊查明真相並不容易
進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位
CTO 觀點:我們從最近的 Sony 等駭客攻擊學到什麼?
現在是在駭什麼?從近日Sony 花旗等大公司被駭談駭客史
精確鎖定企業的目標攻擊與最大的弱點(內含Google與 RSA 遭目標攻擊案例)繼假 Facebook 登入頁面後,殭屍病毒ZeuS鎖定美國陸軍銀行帳戶

◎ 歡迎加入趨勢科技社群網站