潛伏 5 年時間!網路間諜活動瞄準亞太企業與政府機構
潛伏 5 年時間!網路間諜活動瞄準亞太企業與政府機構
作者:Kaoru Hayashi
在 2016 年 6 月,Unit 42 在部落格發表專文《追蹤在日本的 Elirks 變種:與先前攻擊的相似之處》文中提及日本與台灣 Elirks 惡意程式家族發動攻擊的相似之處。自此之後,我們透過 Palo Alto Networks 的 AutoFocus 持續追蹤這項威脅,並發現這類攻擊的更多細節,包括目標資訊在內。
我們看過這種攻擊的許多樣本,並將它們命名為 MILE TEA (MIcrass Logedrut Elirks TEA 的英文簡寫),這類最早在 2011 年初出現的攻擊,其鎖定目標的範圍一直持續擴展。除了涉及多個惡意程式家族外,這種攻擊還經常用偽冒成電子機票的附檔來蒙騙受害人。目前發現遭受攻擊的目標包括三家日本貿易公司、一家日本石油公司,一家日本的行動電話營運商、一家日本公營機構的北京辦事處以及台灣一個政府機關。
在最初 3 年,大多數接獲通報的攻擊都是從台灣發起。另外還在其他亞洲國家發現幾件感染事件,但數量非常少。在 2013 年中,攻擊發起基地開始轉到日本。從 2015 年開始,大多數接獲通報的攻擊都是來自日本。主要的傳播媒介是一封魚叉式網路釣魚電郵,其附檔內含惡意程式。我們從這類攻擊收集到許多種類的感染檔案(包括 RTF、XLS、PDF 等格式),然而大多數附檔的真正形態都是可執行檔,也就是一個安裝程式。
我們在 2015 年 3 月發現一份被寄送到台灣政府機構的魚叉式網路釣魚電郵。寄信者偽冒成一家航空公司,RAR 壓縮格式的附檔裡面內含一個名為 Ticket.exe 的安裝程式,執行該檔後會解出 Ticket.doc 文件檔以及 Micrass 惡意程式。
這種攻擊最引人關切的部分,就是從 2015 年初起,攻擊者開始運用從被入侵組織偷來的文件,以此媒介發動進一步的攻擊。這些文件原本並沒有對外公開流傳,內容看起來也不像是由攻擊者自行編撰,再加上因為它們內含涉及特定行業的機敏資料,因此不太可能是由第三方偽造。
MILE TEA 是已經有 5 年活動史的鎖定目標式攻擊,對象瞄準亞太與日本地區的企業與政府機構。幕後的攻擊者一直維護與使用多個系列的惡意程式,內含自行撰寫的安裝程式。攻擊者瞄準的主要為經營版圖橫跨多國的企業,從日常用品的貿易商一直涵蓋到航線遍及全球的航空公司。另一種可能目標是日本的石油公司,他們經常在海外設立多處辦公室與子公司。另外包括日本的公家機關以及台灣的政府機構也是被鎖定的目標。