駭客案例:如何運用 Poison Ivy 木馬程式滲透政府與石油公司?
駭客案例:如何運用 Poison Ivy 木馬程式滲透政府與石油公司?
作者:Vicky Ray, Robert Falcone, Jen Miller-Osborn and Tom Lancaster
多年來台灣一直是網路間諜攻擊者經常相中的目標,原因有很多,從涉及南海主權紛爭的主權國家,一直到經濟高度發展,還有作為亞洲高科技產業最具創新力的國家之一。在 8 月初,Unit 42 發現兩種使用類似手法的攻擊。其中一項尤其讓人感興趣,就是鎖定台灣行政院秘書長的攻擊。
行政院有許多部會,負責執行政府的各項政務。行政院院會負責審查法條與預算案,以及有關戒嚴法、特赦、宣戰、議和與簽定和約、以及其他重要國事。由於行政院擔負如此重要的任務,也難怪會成為被攻擊的標的。第二項攻擊則是鎖定台灣的能源公司。
在這個案例中,攻擊者使用名為 Tropic Trooper (熱帶騎警)的進階持續性滲透攻擊手法,這種自從 2011 年就很活躍的 APT 攻擊經常瞄準台灣作為滲透目標。其中一類攻擊方法就是使用名為 Yahoyah 的惡意程式碼,但更多人採取的方法是使用 Poison Ivy 遠端存取木馬程式作為駭客工具,Trend Micro 公司在其報告中就曾觀察到這種手法,但當時還沒有加以確認。後來經過進一步的分析後找到許多線索,發現攻擊者可能還運用 PCShare 族系的惡意程式,之前還沒有將這樣的手法和這種攻擊建立關連性。
誘餌文件
如同我們在先前許多報告所述,駭客經常會利用誘餌文件來誘騙被害者,讓他們以為惡意文件其實是合法文件。在感染滲透到電腦之後,被害人從外觀看會認為它就像一個乾淨的文件,文件裡面有和自己相關的內容。
惡意程式碼分析
魚叉式網路釣魚電子郵件的附檔,被用在兩種攻擊行動,其中一種是內含利用 CVE-2012-0158 漏洞的程式碼,許多類型攻擊的駭客至今仍然在利用 Microsoft Word 這個最常被用來滲透的防禦漏洞。
這符合 Tropic Trooper 的手法、技巧、以及過程(TTP),同時鎖定政府機構以及台灣的能源產業發動攻擊。
Tropic Trooper 威脅者團體過去至少六年以來一直鎖定亞太地區的政府與組織。除了使用 Yahoyah 惡意程式碼外,還確定他們有使用 Poison Ivy 以及 PCShare 族系的惡意程式碼。他們至今和許多駭客一樣還在利用 CVE 2012-0158 漏洞。