< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)

 

台灣政府機關下載或開啟附件檔案之前請務必三思!趨勢科技發現一個專門針對台灣政府機關的鎖定目標攻擊行動,名為「PLEAD」,犯罪份子使用魚叉式網路釣魚(Phishing)電子郵件,內含以「強制從右至左書寫」(RTLO) 技巧來偽裝檔名的附件,並利用 Windows 的漏洞來攻擊受害者,誘騙缺乏警戒的收件人開啟並下載惡意附件檔案,進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。

 

趨勢科技台灣區技術總監戴燊表示:「RTLO 技巧運用了從右至左書寫的 Unicode 指令字元,這些字元是為了支援世界上從右至左書寫的語言,讓使用不同語言的電腦也能正確交換資訊。透過 RTLO 技巧,歹徒可將惡意檔案偽裝成看似無害的文件。」

專門攻擊台灣政府機關  新「鎖定目標攻擊」現身!
檔案名稱精心造假   引誘收件者下載惡意附件

趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出,在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。

APT

趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD,來自於其相關惡意軟體所發出後門指令的字母。

此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡,攻擊者利用RTLO(從右至左覆蓋)技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr顯示成xxx.rcs.pdf

在某些PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術,如同一起針對台灣某部會的案例,聲稱是關於技術顧問會議的參考資料:

圖一:寄送至台灣政府單位的電子郵件

 

一旦.7z附加檔案被解開,收件者會看到兩個檔案,看來像一個PowerPoint文件和一個Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元,可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。

此威脅的主角還包括一個用作誘餌的.DOC文件,圖二內的第二個檔案,其唯一的作用是增加電子郵件的可信度。

針對台灣政府單位的APT 攻擊

圖二:解開的附件檔顯示RTLO伎倆作用在.SCR檔案上

 

為了進一步讓受害者相信.SCR檔案是PPT文件,這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。

針對台灣政府單位的APT 攻擊

圖三:.SCR產生這個PPT檔案作為誘餌

 

另一封電子郵件偽裝成台商企業的統計數據:

針對台灣政府單位的APT 攻擊
針對台灣政府單位的APT 攻擊

圖四:第二封電子郵件樣本,被寄送到不同的台灣政府單位

 

針對台灣政府單位的APT 攻擊

圖五:附件檔解開後發現該檔案是個可執行檔

趨勢科技還觀察到有攻擊利用CVE-2012-0158漏洞,這漏洞早在2012年就透過MS12-027修補。此漏洞存在於Windows常用控制項中,可以讓攻擊者執行惡意程式碼,是目標攻擊中所常見到的漏洞。

針對台灣政府單位的APT 攻擊

圖六:第三封電子郵件利用漏洞攻擊

 

PLEAD攻擊活動的有效載荷通常是後門程式,會先解密自己的程式碼,然後注入其他的程序。不同的樣本會安裝不同的程式,但通常這些後門程式會從受害者電腦獲取下列資訊:

  • 使用者名稱
  • 電腦名稱
  • 主機名稱
  • 目前惡意軟體的程序ID

作為惡意份子監控其運作時用來掌握其特定受害者的方法。一旦與遠端伺服器建立連線,後門程式會執行其指令:

  • 檢查已安裝的軟體/代理伺服器設定
  • 列出驅動程式
  • 取得檔案
  • 刪除檔案
  • 遠端控制介面

這些指令都是典型的偵察活動。

趨勢科技還在進行與PLEAD攻擊活動相關的C&C和惡意工具的研究,將會提供關於此攻擊活動更多的技術細節。目前看來,和此攻擊活動相關的攻擊在2012年就已經開始出現。

想知道更多關於各種目標攻擊的細節,還有企業的最佳實作,你可以參考我們關於目標攻擊的威脅情報資源

 

@原文出處:PLEAD Targeted Attacks Against Taiwanese Government Agencies作者:Kervin Alintanahin(威脅分析師)

@延伸閱讀:

< APT 攻擊 > 利用微軟Word零時差漏洞,鎖定台灣政府機構發動攻擊(含社交工程信件樣本)

APT攻擊:一場沒有中立國的戰爭(真實案例模擬)

《APT 攻擊駭客攻擊手法模擬》原來駭客就是這樣跟我一起上班的!!~社交工程攻擊(Social Engineer)過程重現