台灣政府機關下載或開啟附件檔案之前請務必三思!趨勢科技發現一個專門針對台灣政府機關的鎖定目標攻擊行動,名為「PLEAD」,犯罪份子使用魚叉式網路釣魚(Phishing)電子郵件,內含以「強制從右至左書寫」(RTLO) 技巧來偽裝檔名的附件,並利用 Windows 的漏洞來攻擊受害者,誘騙缺乏警戒的收件人開啟並下載惡意附件檔案,進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。
趨勢科技台灣區技術總監戴燊表示:「RTLO 技巧運用了從右至左書寫的 Unicode 指令字元,這些字元是為了支援世界上從右至左書寫的語言,讓使用不同語言的電腦也能正確交換資訊。透過 RTLO 技巧,歹徒可將惡意檔案偽裝成看似無害的文件。」
專門攻擊台灣政府機關 新「鎖定目標攻擊」現身!
檔案名稱精心造假 引誘收件者下載惡意附件
趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出,在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。
趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD,來自於其相關惡意軟體所發出後門指令的字母。
此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡,攻擊者利用RTLO(從右至左覆蓋)技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr顯示成xxx.rcs.pdf)
在某些PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術,如同一起針對台灣某部會的案例,聲稱是關於技術顧問會議的參考資料:
圖一:寄送至台灣政府單位的電子郵件
一旦.7z附加檔案被解開,收件者會看到兩個檔案,看來像一個PowerPoint文件和一個Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元,可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。
此威脅的主角還包括一個用作誘餌的.DOC文件,圖二內的第二個檔案,其唯一的作用是增加電子郵件的可信度。
圖二:解開的附件檔顯示RTLO伎倆作用在.SCR檔案上
為了進一步讓受害者相信.SCR檔案是PPT文件,這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。
圖三:.SCR產生這個PPT檔案作為誘餌
另一封電子郵件偽裝成台商企業的統計數據:
圖四:第二封電子郵件樣本,被寄送到不同的台灣政府單位
圖五:附件檔解開後發現該檔案是個可執行檔
