業務部趨勢科技今日發佈「熱帶騎警攻擊行動」觀察報告,指出台灣與菲律賓一直是此項 APT 威脅的首要目標,在過去三個月內,62% 的攻擊行為都是針對台灣的政府單位與重工業,菲律賓的軍事單位則是另一個目標。根據趨勢科技病毒防治中心最新研究,駭客攻擊火力以今年 3 月份最為密集,連最常被利用的 c&c 伺服器也位於台灣!報告中詳述攻擊行動的目標、階段與手法,趨勢科技也表示,如同其他 APT 攻擊一樣,「熱帶騎警攻擊行動」已帶來重大危險,建議政府單位和企業都應有一套完整的監控策略與進階威脅防護工具,才能確切掌握並修補其網路的安全漏洞。
趨勢科技資深技術顧問簡勝財表示:「『熱帶騎警攻擊行動』自 2012 年起即現出蹤影,但在今年 3 月份對台灣的攻擊火力大幅增強,並仍持續進行中。被利用的 C&C 伺服器中,有 43% 位於台灣,其次則分別位於美國、香港和阿拉伯聯合大公國。」
簡勝財指出,這項攻擊行動之所以能夠成功,是綜合了許多因素,例如利用兩個至今最常遭到攻擊的 Windows 漏洞:CVE-2010-3333 和 CVE-2012-0158 來入侵目標網路,並且採用了基本的圖像隱藏術 (steganography) 來將惡意程式碼隱藏在圖片當中,再搭配聰明的社交工程技巧騙取收件者的信任,而不小心開啟洩漏資訊給駭客的後門。此外,截至目前為止,台灣仍有 17% 的系統還在使用微軟 Windows XP 作業系統,而許多企業對於如何防禦 APT 這種長期持續滲透的攻擊仍不熟悉、防護架構也不完整。
本次事件的攻擊手法,是先使用社交工程釣魚郵件、挾帶惡意附件檔案,進一步攻擊一些既有的漏洞,透過與收件者業務有關聯的郵件主旨、內容以及配合該情況的附件檔案名稱,趨勢科技曾發現的有:「關於 104 年中央政府總預算」或「實驗室電話表」等檔名,讓收件人不疑有他,進而下載並開啟郵件中所附的檔案。
圖一、社交工程釣魚郵件樣本
當附件檔案開啟時,會執行一個內嵌的惡意執行檔,其是個檔案下載程式,趨勢科技偵測為 TROJ_YAHOYAH 木馬程式。該程式會連上惡意網站,來下載另一個藏有惡意程式的圖片檔或.MSI 檔,惡意程式會把圖檔的程式碼解密執行,駭客就可以透過木馬程式竊取受感染系統的帳號與登入資訊,歹徒自此再也不必駭入系統,因為他們可以直接用合法帳號登入,自由存取電腦上的所有資訊。
圖二、.MSI 檔案樣本在小畫家當中開啟的樣子
簡勝財提醒,台灣政府單位和重工業企業長期被鎖定為 APT 攻擊目標,趨勢科技發佈的報告中也發現歹徒仍在使用一些舊的技巧來攻擊一些已知的漏洞,表示被鎖定的單位需提昇資安意識與防護工具。趨勢科技呼籲政府組織及企業需提昇資安意識,並建議相關單位與企業都應該採取一套客製化防禦策略,藉由完整的「偵測、分析、回應」三個步驟來對付企業所面臨的特有威脅。
趨勢科技發佈的「熱帶騎警攻擊行動觀察」報告,完整內容請見 http://www.trendmicro.tw/cloud-content/tw/pdfs/security-intelligence/white-papers/wp-operation-tropic-trooper_ch.pdf