針對台灣和香港的木馬程式Emissary

2015年12月,Unit 42 團隊針對利用Emissary木馬發動網路間諜攻擊發表一篇部落格文章。Emissary與Elise木馬及Operation Lotus Blossom攻擊活動有所關聯,這促使我們開始收集其他的木馬樣本。

我們發現最早的樣本是在2009年被製造出來,這意謂此工具已被使用將近七年。值得注意的是,這比我們所發現的最早Elise樣本還要早了三年,表明這個群體的活動時間較先前的記錄來得更久。此外, Emissary似乎只被用來攻擊位於台灣或香港的目標,所有的誘餌都是以繁體中文撰寫,而且使用的主題都與政府或軍隊相關。

我們也發現數個不同的Emissary版本出現幾個版本的變化(iterative changes),顯示這個木馬在這幾年間不斷進化。在分析過程中最有趣的觀察之一,是我們於2015年6月發表Operation Lotus Blossom報告後,投注於Emissary的開發資源明顯增加,於是就產生了許多新版本的Emissary木馬。此外,我們觀察到在研究報告發表後,與他們的惡意軟件發送相關的TTP有所變換;他們並開始使用盜用但合法的網域來託管他們的惡意軟體。有趣的是,C2基礎設施也和Elise使用的有所不同。

鎖定目標

相對於Elise是被用來攻擊多個東南亞國家,且是採用該區域的當地語言,我們收集到的所有Emissary誘餌都是以台灣及香港慣用的繁體中文字撰寫。我們所辨識出的目標也都僅限於這兩個區域。儘管目標似乎受限於地理範圍,但Emissary透過複製和剪貼無法在網路上看到的新聞文章和文件來鎖定政府、高等教育及高科技公司。誘餌包括:

  • 一個包含許多台灣政府機構的合法聯絡資訊的Excel表格,而這些資訊並無法在網路上取得。
  • 複製和剪貼一篇新聞文章,其中南京軍區的副司令Wang Huanguang針對某位受人尊崇的美國台灣學者於2014年發表的雜誌文章做出消極回應,這篇文章提到中國大陸和臺灣統一的可能性很低,並討論軍事接管意圖的相關議題。
  • 複製一篇2010的文章,關於中國受害者聯盟(the Chinese League of Victims)抗議為了舉辦上海世博會而強迫上海居民搬離。
  • 複製台灣2016年,同時也是民國105年的國訂假日時間表。

進化求生存:TTP變換及基礎設施

自我們發表首篇Emissary部落格文章以來,我們對於Emissary的了解已大有進展,而且我們發現這些專用的動態DNS(Dynamic DNS, DDNS)只有一個是購自某個中國經銷業者。相對而言,Elise是混合使用actor-registered和DDNS,並利用actor-registered做為數據點之一,用來將所有活動聯繫在一起 。雖然使用DDNS會導致將活動聯繫在一起更為困難,且儘管自我們發表後出現了新的Emissary變種,但是仍有兩個最新的C2進化成為Elise C2所使用的IP,詳見Operation Lotus Blossom。Emissary樣本一般會有三個寫死的C2,這是IP和網域名的混合,其中一個網域名或IP不被其他三個C2所使用,可能是為了要避免失控。這份報告的最後附了一個完整的IOC列表。

我們還發現攻擊者會利用被攻占的台灣合法網站來託管他們的惡意軟體,其中包括民進黨官方網站。特別有趣的是,台灣甫於1月16日完成備受關注的總統大選;民進黨候選人蔡英文勝出。這是台灣第一次選出女總統,同時也是國民黨於1949年撤離中國大陸並於台灣主政後第二次失去政權。基於民進黨的政治立場,蔡英文被廣泛認為支持台灣獨立,不贊同與中國統一。

結論

使用Emissary的這些攻擊者,他們先前也被報告為Operation Lotus Blossom的幕後藏鏡人,已在東南亞活動至少七年。他們非常積極且持續地與時俱進,且擁有足夠的資源可取得多個定製RAT,以進行定期更新。大部分是以軍隊或政府為目標,也會鎖定一些高等教育及高科技公司。他們也能以多種亞洲語言選擇及使用適當的誘餌,並讓它們合法出現。

Emissary的使用似乎僅集中於台灣和香港,並會進行惡意軟體的定期更新,以避免偵測並提高成功機率。值得特別注意的是,我們發表Operation Lotus Blossom報告與Emissary出現系列更新的時機之間有著有趣的巧合。首次出現是在我們發表報告的十天之後,隨後的更新則以越來越短的間隔出現,大約是每三個月一次,一直進行至我們目前所討論的最終版本。在我們發表那份報告之前,根據我們的研究,Emissary約是每兩年更新一次。這表明攻擊者可能已注意到攻擊情資報告,且完全能夠在認為有所必要時馬上進行更改。

除了惡意軟體的進化外,攻擊者也從單純的附件式魚叉網路釣魚轉換至利用盜用的合法網站來託管惡意軟體。木馬的持續更新及攻擊者TPP的變換,顯示這樣的威脅將在未來持續使用Emissary進行網路間諜攻擊。

完整內容及資料請參閱網頁:http://researchcenter.paloaltonetworks.com/2016/02/emissary-trojan-changelog-did-operation-lotus-blossom-cause-it-to-evolve/#more-12032