2014 年趨勢科技目前發現一起專門針對台灣政府和行政單位的 APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 活動。這起特定攻擊活動命名為 PLEAD,據 趨勢科技分析發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後很有可能都同屬一個駭客團體 BlackTech 網路間諜集團。
BlackTech 是一個在東南亞地區相當活躍的網路間諜集團,尤其是在台灣,偶爾也在日本和香港地區活動。根據其幕後操縱 (C&C) 伺服器的 mutex 和網域名稱來看,BlackTech 的行動主要是竊取攻擊目標的機密技術。
據趨勢科技對其活動以及不斷變換的手法與技巧所做的分析,我們發現 PLEAD、Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊) 這三個看似獨立的行動其實背後有所關聯。
我們分析了他們的犯案手法並剖析了他們所用的工具之後發現,PLEAD、Shrouded Crossbow 和 Waterbear 很有可能都同屬一個駭客團體。
PLEAD: 曾經攻擊台灣的政府機關和民間機構
PLEAD 是一個資料竊取行動,尤其專門竊取機密文件。該項行動從 2012 年活躍至今,曾經攻擊台灣的政府機關和民間機構。PLEAD 所使用的工具包括同名的 PLEAD 後門程式以及 DRIGO 資料搜刮外傳工具。PLEAD 會利用魚叉式網路釣魚郵件來夾帶惡意的附件檔案或雲端儲存空間連結,以散布並安裝其木馬程式。歹徒使用了一些雲端儲存空間帳號來提供 PLEAD 木馬程式,並且接收 DRIGO 所搜刮外傳的文件。
PLEAD 的安裝程式經常使用從右至左書寫 (RTLO) 的技巧來讓惡意程式的檔名看起來像文件檔,且大多會搭配一個誘餌文件來轉移使用者的注意力。此外,我們也看過 PLEAD 使用以下漏洞來攻擊:
- CVE-2015-5119 (Adobe 已在 2015 年 7 月修補)。
- CVE-2012-0158 (Microsoft 已在 2012 年 4 月修補)。
- CVE-2014-6352 (Microsoft 已在 2014 年 10 月修補)。
- CVE-2017-0199 (Microsoft 已在 2017 年 4 月修補)。
趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出,在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。
趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD,來自於其相關惡意軟體所發出後門指令的字母。
此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡,攻擊者利用RTLO(從右至左覆蓋)技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr 顯示成xxx.rcs.pdf)
在某些 PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術,如同一起針對台灣某部會的案例,聲稱是關於技術顧問會議的參考資料:
一旦.7z 附加檔案被解開,收件者會看到兩個檔案,看來像一個 PowerPoint文件和一個 Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元,可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。
為了進一步讓受害者相信.SCR檔案是PPT文件,這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。
《延伸閱讀》< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)
PLEAD 還曾經短暫使用過一個無檔案式惡意程式版本來攻擊 Flash 的漏洞 (CVE-2015-5119),也就是當年 Hacking Team 所外流的漏洞。
PLEAD 集團會使用一個路由器掃瞄工具來掃瞄路由器的漏洞,成功入侵之後就會啟用路由器的 VPN 功能,然後將某台電腦註冊成虛擬伺服器。這台虛擬伺服器將擔任專門提供 PLEAD 惡意程式給受害裝置的 C&C 伺服器或 HTTP 伺服器。
除此之外,PLEAD 還會利用 CVE-2017-7269 這個 Microsoft Internet Information Services (IIS) 6.0 緩衝區溢位漏洞來入侵受害者的伺服器。這是歹徒建立新 C&C 伺服器或 HTTP 伺服器的另一個方法。
PLEAD 的六個惡意行為
PLEAD 的後門程式可讓歹徒:
- 蒐集瀏覽器和電子郵件用戶端 (如 Outlook) 所儲存的登入憑證。
- 列出系統上的磁碟、執行程序、開啟的視窗以及檔案。
- 開啟遠端指令列介面。
- 上傳目標檔案。
- 透過 ShellExecuteAPI 執行應用程式。
- 刪除目標檔案。
PLEAD 會利用其檔案搜刮外傳工具 DRIGO 來搜尋已感染電腦上的文件。每一個 DRIGO 都含有一個與特定 Gmail 帳號綁定的重新整理代碼,這個帳號又會與某個 Google Drive 帳號連結。所有竊取到的檔案都會上傳到 Google Drive 雲端空間,歹徒再到雲端空間收取這些檔案。
Shrouded Crossbow: 專門攻擊民營化政府機構及政府承包商
這項攻擊行動首次在 2010 年被發現,其幕後集團似乎買下了 BIFROST 後門程式的原始程式碼然後加以強化並衍生出其他工具,因此其資金應該相當雄厚。Shrouded Crossbow 專門攻擊民營化政府機構及政府承包商,此外還有消費性電子、電腦、醫療、金融等產業。
Shrouded Crossbow 使用了三個從 BIFROST 衍生出來的後門程式:BIFROSE、KIVARS 和 XBOW。如同 PLEAD 一樣,Shrouded Crossbow 也是經由魚叉式路釣魚郵件搭配暗藏後門程式的附件檔案來散布,並且運用了從右至左書寫 (RTLO) 的檔名與移轉注意力的誘餌文件。
BIFROSE 會利用 Tor 洋蔥路由器網路來與其 C&C 伺服器通訊,藉此避開偵測,此外,它還有一個版本專門用來攻擊伺服器、工作站和行動裝置常用的 UNIX 式作業系統。KIVARS 在功能上較 BIFROSE 陽春,但卻採用模組化的架構,因此更容易維護。KIVARS 可讓駭客用來下載和執行檔案、列出磁碟清單、解除安裝惡意程式服務、擷取螢幕畫面、啟用或停用鍵盤側錄程式、顯示或隱藏使用中視窗,以及製造滑鼠點選動作與鍵盤輸入。為了配合作業系統全面邁向 64 位元的潮流,KIVARS 還出了一個 64 位元版本。XBOW 的功能是衍生自 BIFROSE 和 KIVARS。Shrouded Crossbow 這個名稱來自於其特殊的 mutex 格式。
Waterbear: 進入目標系統之後用來長期潛伏在系統內的第二波程式
Waterbear 攻擊行動擁有相當長的歷史,該行動名稱的由來是因為它可以從遠端新增功能。
Waterbear 同樣也採用了模組化的設計,它會利用一個程式載入元件來連上 C&C 伺服器去下載主要的後門程式並將它載入記憶體當中。某個後期的版本則會利用一個修改過的伺服器應用程式來當成程式載入元件,其主要後門程式則是一個加密過的檔案,或者從再 C&C 伺服器下載。
其後期採用的技巧需要先對攻擊目標的環境有所了解,因此,駭客很可能是將 Waterbear 當成已經進入目標系統之後用來長期潛伏在系統內的第二波程式。
《延伸閱讀》< APT 攻擊 >透過自動啟動機制,攻擊者在一亞洲政府內部取得立足點
BlackTech 網路間諜組織浮出檯面
根據趨勢科技所觀察到的一些跡象:相同的 C&C 伺服器、彼此配合的攻擊行動、類似的工具、技巧和目標,我們可推測這些行動背後都是由同一個組織所掌控。一個組織分成多組人馬,分別負責不同的攻擊行動,這樣的情況並非少見,尤其是資金雄厚的組織。雖然這些攻擊行動大多分開獨立,但我們也看過由不同人馬負責不同感染階段的聯合行動。
使用相同的 C&C 伺服器
趨勢科技在許多案例當中發現這些攻擊行動所連上的 C&C 伺服器彼此重疊。一般來說,不同團體的針對性攻擊/鎖定目標攻擊(Targeted attack ) 攻擊通常不會使用相同的 C&C 伺服器。但我們卻發現上述行動都共用同樣的 C&C 伺服器:
| C&C 伺服器 | PLEAD | Shrouded Crossbow | Waterbear |
| itaiwans.com | 是 | 否 | 是 |
| microsoftmse.com | 是 | 是 | 否 |
| 211.72.242.120 | 是 | 是 | 否 |
表 1:PLEAD、Shrouded Crossbow 和 Waterbear 共用的一些 C&C 伺服器。
除此之外,多個 KIVARS 變種所用的「211.72 .242.120」這個 IP 位址其實是「microsoftmse.com」網域底下的一台主機。
聯合行動
此外我們也發現這些後門程式攻擊某些相同的目標。當然,這也有可能是不同的團體剛好都攻擊同樣的目標,我們推測他們至少在某種程度上有些合作:
| PLEAD | Shrouded Crossbow | |
| 樣本使用的檔案名稱相同 | 程式載入元件執行檔會以攻擊目標來命名,也就是:{目標名稱}.exe | 程式載入元件執行檔會以攻擊目標來命名,也就是:{目標名稱}.exe 或 {目標名稱}64.exe |
| 後門程式使用的 C&C 伺服器相同 | 連線至 211.72.242.120:53 | 連線至 211.72.242.120:443 |
| 進入目標的時間順序 | 由 SC 初次感染之後的兩天 | 兩年前就已經建立灘頭堡,但最近才又重新感染 |
表 2:PLEAD 和 KIVARS 攻擊同一目標的案例。
| PLEAD | Shrouded Crossbow | Waterbear | |
| 系統上發現的樣本 | vmdks.exe | cfbcjtqx.dll | tpauto.dll |
| 感染時間點 | 2017 年 3 月 16 日 | 2017 年 2 月 23 日 | 2017 年 3 月 8 日 |
表 3:PLEAD、KIVARS 和 Waterbear 攻擊相同目標的案例。
相似的工具和技巧
比方說,PLEAD 和 KIVARS 都使用從右至左書寫 (RTLO) 的技巧來隱藏其真正的檔名,讓其安裝程式看起來像文件檔。此外,兩者也都會搭配誘餌文件來讓其 RTLO 技巧更不容易讓人起疑。另一個雷同之處是它們都使用一個小巧的程式載入元件來將加密過的後門程式載入記憶體當中。
目的類似
這些攻擊行動背後的動機都是竊取受害者的重要文件,且其最初的攻擊對象不一定是最後的目標。例如,有好幾次我們看到駭客利用從某機構偷來的文件當成誘餌以攻擊另一個目標。這表示竊取文件或許只是攻擊行動的第一階段,此時受害者只是某個與歹徒真正目標有所關聯的機構。我們發現 PLEAD 和 KIVARS 大多用於第一階段攻擊,而 Waterbear 則是駭客已經進入目標之後所安裝的第二階段後門程式。
竊取的文件偏好
根據這些行動所竊取的文件,我們可更清楚掌握其攻擊和入侵的對象、動機以及攻擊時間點。以下是歹徒竊取的一些文件類別或名稱:
- Address book
- Budget
- Business
- Contract
- Culture
- Defense
- Education
- Energy
- Foreign affairs
- Funding application
- Human affairs
- Internal affairs
- Laws
- Livelihood economy
- Meeting
- Official letter
- Password list
- Performance appraisal
- Physical culture
- Press release
- Public security
- Schedule
企業必須主動防範
PLEAD、Shrouded Crossbow 和 Waterbear 目前仍非常活躍,這也是為何企業機構必須主動守護邊境安全。
IT 系統管理員與資安人員可考慮列出一份網路觀察事項清單,隨時留意是否有可能遭到入侵的異常或可疑跡象。我們建議企業應遵守一些最佳實務原則,並且採用多層式資安防護以及防範針對性攻擊的策略。網路流量分析、防火牆與入侵防護系統、網路分割以及資料分類都是企業可採取的措施。
趨勢科技解決方案
Deep Discovery 能即時偵測、深入分析、並主動回應今日隱匿的惡意程式與針對性攻擊。它提供了一套專為企業量身訂做的完整防禦來對抗針對性攻擊和進階威脅,利用特殊的引擎、客製化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測上述零時差攻擊行動當中的各種威脅。
趨勢科技Deep Security 和 趨勢科技 Vulnerability Protection 漏洞防護都能提供虛擬修補來防範企業端點因未修補的漏洞而遭到攻擊。趨勢科技 OfficeScan™ 的漏洞防護功能,也能在修補更新部署之前防止端點裝置遭到已知及未知的漏洞攻擊。
趨勢科技 Smart Protection for Endpoints 採用了XGen 防護,在威脅防護技巧當中融入了高準度機器學習能力,能防止任何使用者活動與任何端點裝置所帶來的資安漏洞,提供最廣泛的進階攻擊防護。
如欲瞭解更多有關 PLEAD、Shrouded Crossbow 與 Waterbear 所用到的各種惡意程式以及對應的入侵指標資料 (雜湊碼、C&C 等等),請參閱這份技術摘要。
原文出處: Following the Trail of BlackTech’s Cyber Espionage Campaigns 作者:Lenart Bermejo、Razor Huang 和 CH Lei (威脅解決方案團隊)