在趨勢科技監測目標攻擊(特別是APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)時,趨勢科技看到一封夾帶有PDF檔案的電子郵件,這檔案在42個一般或啟發式偵測規則裡只觸發了少少的四個。
趨勢科技檢查了這封電子郵件,哇!這封信是來自筆者一位FireEye可信任的研究員同事和朋友,他也在監測這些活動。更精確地說,至少看起來是這樣。
看起來是正常的,對吧?但直覺告訴我們,這裡頭有些不對勁,所以趨勢科技先來仔細檢查一下電子郵件檔頭,希望能找到一些偽造的痕跡,而我看到了。
這檔頭顯然是偽造的。電子郵件地址和筆者同事的聯絡資訊(包括FireEye的標誌)都是這次攻擊活動的幕後黑手假造用來作為社交工程陷阱( Social Engineering)攻擊的一部分。
在回信地址裡的電子郵件地址是dawatsering228@yahoo.com。這電子郵件地址看起來很眼熟,我們很確定在之前針對西藏公眾人物和非政府組織的目標攻擊活動裡有看過(請參考《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件)。利用Google來對這電子郵件地址做些公開來源情報(OSINT)搜尋,出現了一些藏族公眾人物或是跟達瓦才仁(Dawa Tsering)有關的一些佛教活動。但是,顯然不可能是這位人士來發送目標攻擊郵件!所以這個電子郵件地址可能已經被入侵了。
檔名為「Next Generation Threats.pdf」 的附加檔案看起來會做漏洞攻擊,可能會產生其他惡意軟體或執行惡意行為。這個被偵測為TROJ_PIDIEF.KFR的PDF有加密碼保護。這個密碼保護會加密檔案內容,所以並無法得知關於漏洞攻擊的詳情。但仔細觀察這惡意軟體,它會產生被偵測為JS_DROPPR.KFR的JavaScript。這個JavaScript會植入後門程式BKDR_INJECT.KFR,連到{BLOCKED}.{BLOCKED}.77.98。 這個IP地址看起來是註冊在中國。上述的後門程式會對這IP地址送出以下資訊:
- 即時通的帳號密碼
- 磁碟和檔案列表
- 使用者帳號密碼
這起事件還有我們在AlienVault的朋友所報告利用他們的部落格文章,透過剪貼他們網站頁面來作出的攻擊活動,顯示這些目標攻擊活動的幕後黑手對於發動攻擊的手段上越來越有創造力了。
@原文出處:Another Targeted Email Campaign Using Researcher Credentials as Ploy
@延伸閱讀
什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?
進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位
《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰
APT 進階持續性滲透攻擊研究報告10個懶人包
<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動
《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統
《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件
◎ 歡迎加入趨勢科技社群網站
