示意圖,與新聞事件無關。

McAfee安全研究人員發現一樁國家級駭客攻擊行動,利用Word文件散佈後門程式以入侵人道救助團體。 

McAfee進階威脅研究小組今年1月15日及1月中分別發現數批韓文惡意Word文件。研究人員追查樣本信件來源大部份發送自位於南韓的代管免費郵件帳號,顯示鎖定南韓的人士。另一批文件則以北韓紅十字會分部為主旨,誘使用戶開啟。文件分析顯示惡意程式作者名為Honeybee,McAfee因而將駭客行動命名為蜜蜂行動(Operation Honeybee)。去年11月也曾散佈過名為的NTWDBLIB的惡意安裝程式。 

蜜蜂行動散佈的數波文件中全部都使用VB巨集,受害者開啟後便會植入曾在2017年8月流行的SYSCON的變種後門程式。SYSCON為去年8月藉由北韓相關主題散佈的後門程式,利用外部FTP伺服器作為遠端程式控制的C&C伺服器,並自受害者裝置蒐集資訊。 

除了後門程式外,研究人員還發現蜜蜂攻擊散佈名為MaoCheng的Win32病毒植入執行檔(dropper),它使用被竊的Adobe數位憑證以躲過Windows的驗證機制,並安裝冒充Word的文件,用戶開啟後,MaoCheng即會以文件受到保護,要求使用者同意「啟動內容」以讀取文件。一旦用戶同意後即放行駭客存取資訊。研究人員相信,MaoCheng可能是為了此次行動而特地製作的攻擊工具。 

McAfee研究人員雖然蒐集到許多資料,但並未說明是否來自北韓,僅表示蜜蜂行動背後組織為操韓語人士,其運用誘騙式信件主旨的手法也和南韓之前發生的攻擊行動類似。他們以蜜蜂行動的策畫精細程度、部署速度等特徵判斷為國家背後資助的攻擊行動。攻擊者可能目標在人道救援及兩韓事務的人士,同時活動範圍也從原本的南韓境內,逐漸散佈並鎖定其他國家,包括越南、新加坡、日本、印尼及加拿大的人道救助組織。


Advertisement

更多 iThome相關內容