台灣處於地緣政治的焦點,受中國駭客鎖定為主要攻擊目標。近期 TeamT5 威脅情資研究團隊即偵查到中國駭客針對台灣金融單位的連續網路攻擊,以保單借款、聖誕節賀卡為主題,發送釣魚信件。TeamT5 呼籲企業提高警覺心,即便是業務相關信件也應留意可疑處,並宜持續掌握國際威脅情資動態,制敵機先。
杜浦數位安全 TeamT5 研判,攻擊者於 2022 年 12 月時,便以「Merry Christmas,聖誕快樂」為主旨的魚叉式釣魚信展開攻擊行動,釣魚信附帶一個惡意的 7z 格式壓縮檔「Christmas notice.7z」。解壓縮之後,該檔案會投放一個 CobaltStrike Beacon 載入程式「Christmas notice.pdf.exe」。
攻擊者在此載入程式的副檔名前插入許多空格,並利用 Word 圖示將該 EXE 執行檔偽裝成是一份 DOC 文件;不僅檔名經過偽裝,在技術層次上,該檔案也被塞入許多垃圾程式碼,並運用控制流程扁平化(control flow flattening)的混淆技術。
TeamT5 進一步發現,本次攻擊利用的誘餌是由中國履歷模板網站「稻壳简历」製作而成。因稻壳简历的使用者多為中國人,所以我們高度懷疑本次攻擊是由中國威脅行動者所策動。
正式文件暗藏禍心不可不慎
接著於今年 1 月中旬,TeamT5 偵查到另一起針對台灣金融單位的攻擊,攻擊者利用一份保單借款文件當作誘餌,遞送 CobaltStrike Beacon,濫用合法的資安滲透測試工具,執行惡意目的。
綜觀兩起攻擊事件的技術證據及攻擊手法,包含諸多相似之處:
- 兩起攻擊的檔案內含源自同個 GitHub 專案的特殊字串。
- 兩起攻擊 CobaltStrike Beacon shellcode 的浮水印編號相同,皆為 391144938。
- 攻擊者使用了相同的混淆技術。
- 兩起攻擊所使用的假 Word 圖示,其雜湊值相同。
TeamT5 推斷這兩起攻擊是由同一中國威脅行動者所發起,呼籲企業提高警覺心,進行員工資安教育訓練,增強資安防禦力,並宜持續掌握國際威脅情資動態,預先防範網路攻擊。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!