資安公司趨勢科技在5月底,發現一起針對臺灣政府部門特定人士進行的APT攻擊事件,在政府部門將會議活動或研討會委外辦理期間,駭客偽冒政府會議的名義發送釣魚郵件,並將一支名為PLEAD惡意程式偽裝成會議參考文件作為郵件附件,導致相關的承辦人員及與會人員,都不疑有他直接點選而受駭。臺灣趨勢技術總監戴燊表示,該起攻擊事件是跨部門的受駭者,不只有基層的承辦人員點選該惡意郵件,連與會的中高階公務人員也受駭。

惡意.scr自動產生PPT文件來掩飾木馬植入行為

這種鎖定特定人員的APT攻擊手法層出不窮,就是希望誘使收件人可以點擊駭客寄送的惡意郵件,進而將惡意程式植入到使用者的電腦中。戴燊指出,這起利用會議郵件形式所發動的APT攻擊,經調查後,是利用一個專門針對臺灣政府部門特定人士的新惡意程式,命名為「PLEAD」。

戴燊表示,郵件收件者一旦點選惡意郵件的附件後,將會觸發這個惡意程式後,駭客就會利用微軟編號CVE-2012-0158的Office漏洞,植入惡意程式後,取得該臺電腦的管理權限,會先收集使用者名稱、電腦名稱、主機名稱以及當前惡意程式處理程序代碼,一旦連上網路後和遠端的命令與指令伺服器(Command and Control Server)連線後,還可以做到包括:檢查電腦上安裝的軟體或Proxy設定、列出所有磁碟機、取得檔案、刪除檔案,以及執行遠端指令,例如Phone Home或者是將資料回傳。

為了降低收件者的疑慮,駭客在附件檔案中放了2個檔案,除了有一個正常的微軟Word文件(.doc)外,也有一個簡報檔PPT檔案。其中,PPT檔並不是正常的簡報檔,而是一個含有惡意.scr(螢幕保護程式)的檔案,除了在檔名的命名中,運用了從右至左書寫的Unicode 指令字元(RTLO),將該惡意檔案命名為rcs.ppt,可以讓臺灣習慣由左到右書寫習慣者,不會察覺到這個檔案是一個.scr可執行程式而起疑心。

而這個惡意.scr程式最特別的情況則是,「使用者一旦點選這次.scr的惡意程式後,還會自動產出一份3頁的PPT檔案,使用者更會信以為真。」戴燊說,這也是這類APT攻擊的惡意程式中,首度出現會另外產出一份簡報檔以混淆收信人的攻擊手法。

戴燊表示,這個惡意程式觸發的Office漏洞,存在於Windows常用控制項中,可以讓攻擊者執行惡意程式碼,是APT攻擊常見的漏洞,而在2012年就已經有MS12-027 修補程式,但是,因為許多人往往會忽略Office應用程式的漏洞修補,也使得這次APT攻擊,讓許多跨部門的人員中標。

趨勢科技發現,這次針對政府部門發動APT攻擊的惡意程式,會透過從右至左書寫的Unicode 指令字元(RTLO),藉此混淆惡意程式的檔案名稱。

 

 

 

 


Advertisement

更多 iThome相關內容