台灣處於地緣政治的焦點,受中國駭客鎖定為主要攻擊目標。近期亞太威脅情資業者 TeamT5 杜浦數位威脅情資研究團隊即偵查到中國駭客針對台灣金融單位的連續網路攻擊,以保單借款、聖誕節賀卡為主題,發送釣魚信件。TeamT5 呼籲企業提高警覺心,即便是業務相關信件也應留意可疑處,並宜持續掌握國際威脅情資動態,制敵機先。
TeamT5 研判,攻擊者於 2022 年 12 月時,便以「Merry Christmas,聖誕快樂」為主旨的魚叉式釣魚信展開攻擊行動,釣魚信附帶一個惡意的 7z 格式壓縮檔「Christmas notice.7z」。解壓縮之後,該檔案會投放一個 CobaltStrike Beacon 載入程式「Christmas notice.pdf .exe」。
攻擊者在此載入程式的副檔名前插入許多空格,並利用 Word 圖示將該 EXE 執行檔偽裝成是一份 DOC 文件;不僅檔名經過偽裝,在技術層次上,該檔案也被塞入許多垃圾程式碼,並運用控制流程扁平化(control flow flattening)的混淆技術。
TeamT5 進一步發現,此次攻擊利用的誘餌是由中國履歷模板網站「稻壳简历」製作而成。因稻壳简历的使用者多為中國人,因此高度懷疑這次攻擊是由中國威脅行動者所策動。
到了今年 1 月中旬,TeamT5 偵查到另一起針對台灣金融單位的攻擊,攻擊者利用一份保單借款文件當作誘餌,遞送 CobaltStrike Beacon,濫用合法的資安滲透測試工具,執行惡意目的。
綜觀兩起攻擊事件的技術證據及攻擊手法,包含諸多相似之處;例如兩起攻擊的檔案內含源自同個 GitHub 專案的特殊字串。且兩起攻擊 CobaltStrike Beacon shellcode 的浮水印編號相同,皆為 391144938。攻擊者使用了相同的混淆技術。兩起攻擊所使用的假 Word 圖示,其雜湊值相同。
綜合上述的作法,TeamT5 推斷這兩起攻擊是由同一中國威脅行動者所發起。
TeamT5 呼籲企業提高警覺心,進行員工資安教育訓練,增強資安防禦力,並宜持續掌握國際威脅情資動態,預先防範網路攻擊。
(首圖來源:TeamT5)
科技新報粉絲團
加入好友
訂閱免費電子報
