漏洞,特別是零時差漏洞,經常會被惡意份子用作目標攻擊的起始點。影響微軟Word的零時差(在當時)漏洞(CVE-2014-1761)就是一個例子。在三月所發佈的資安通報裡,微軟自己承認該漏洞被用在「有限的目標攻擊」裡。微軟因此在其四月的週二修補程式裡修補了此一漏洞。
然而,出現修補程式並不會嚇阻惡意份子去利用此漏洞。趨勢科技還是看到有APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊在他們的攻擊活動裡利用此一漏洞。
Taidoor連線:偽裝台灣政府部門和教育單位發出全國民調, 服貿議題被操作
我們看到了兩起針對台灣政府部門和一個教育單位的攻擊。第一起攻擊使用夾帶惡意附件檔的電子郵件,此郵件偽裝成來自政府員工。附件檔標題偽裝成一份全國性民調來增加說服力。此附件其實是被偵測為TROJ_ARTIEF.ZTBD-R的漏洞攻擊程式。它會產生被偵測為BKDR_SIMBOTDRP.ZTBD-R的檔案,接著再產生兩個檔案 – TROJ_SIMBOTLDR.ZTBD-R和TROJ_SIMBOTENC.ZTBD-R。這兩個檔案最後會導致被偵測為BKDR_SIMBOT.SMC的最終結果。
第二起APT攻擊的教育單位也是在台灣。此波攻擊利用電子郵件附加檔案來取得對收件者電腦和網路的存取能力。這封電子郵件討論了服貿議題,而附件檔和一個工作專案有些關係。跟第一個案例類似,此附件檔也是被偵測為TROJ_ARTIEF.ZTBD-PB的漏洞攻擊程式。它會產生一個被偵測為BKDR_SIMBOT.ZTBD-PB的後門程式。一旦執行,此一惡意軟體可以執行指令來搜尋欲竊取的檔案、取出檔案以獲利以及進行橫向移動。
我們已經確定這兩個攻擊跟Taidoor有關(一個自2009年就開始活躍的攻擊活動),因為網路流量結構類似。上述攻擊和之前的攻擊活動有著相同的特性,不管是目標、社交工程(social engineering )誘餌以及使用(零時差漏洞)的技術。
後續的PlugX:偽裝成來自台灣某出版社的新書列表
另一起我們看到利用CVE-2014-1761的攻擊針對在台灣的郵件服務。就跟其他攻擊一樣,此一攻擊利用電子郵件附加檔案來進入網路。電子郵件附加檔案偽裝成來自一出版社的新書列表。這樣做是為了引起收件者的興趣。
此附件檔其實是偵測為TROJ_ARTIEF.ZTBD-A的漏洞攻擊程式,會產生被偵測為TROJ_PLUGXDRP.ZTBD的PlugX惡意軟體。它會產生被偵測為BKDR_PLUGX.ZTBD的惡意程式,此程式可以進行廣泛的資料竊取行為,包括:
- 複製,移動,重新命名,刪除檔案
- 建立目錄
- 建立文件
- 列舉檔案
- 執行檔案
- 取得磁碟資訊
- 取得檔案資訊
- 打開和修改檔案
- 記錄鍵盤活動和執行中視窗
- 列舉TCP和UDP連線
- 列舉網路資源
- 設定TCP連線狀態
- 鎖住工作站
- 登出使用者 繼續閱讀