MILE TEA: 網路間諜活動瞄準亞太企業與政府機構
在2016年6月,Unit 42在部落格發表專文《追蹤在日本的Elirks變種:與先前攻擊的相似之處》文中提及日本與台灣Elirks惡意程式家族發動攻擊的相似處。自此之後,我們透過Palo Alto Networks的 AutoFocus持續追蹤這項威脅,並發現這類攻擊的更多細節,包括目標資訊在內。我們看過這種攻擊的許多樣本,並將它們命名為“MILE TEA” (MIcrass Logedrut Elirks TEA的英文簡寫),這類最早在2011年初出現的攻擊,其鎖定目標的範圍一直持續擴展。除了涉及多個惡意程式家族外,這種攻擊還經常用偽冒成電子機票的附檔來蒙騙被害人。目前發現遭受攻擊的標的包括三家日本貿易公司、一家日本石油公司,一家日本的行動電話營運商、一家日本公營機構的北京辦事處以及台灣一個政府機關。
在最初3年,大多數接獲通報的攻擊都是從台灣發起。另外還在其他亞洲國家發現幾件感染事件,但數量非常少。在2013年中,攻擊發起基地開始轉到日本。從2015年開始,大多數接獲通報的攻擊都是來自日本。主要的傳播媒介是一封魚叉式網路釣魚電郵,其附檔內含惡意程式。我們從這類攻擊收集到許多種類的感染檔案(包括RTF、XLS、PDF等格式),然而大多數附檔的真正形態都是可執行檔,也就是一個安裝程式。
我們在2015年3月發現一份被寄送到台灣政府機構的魚叉式網路釣魚電郵。寄信者偽冒成一家航空公司,RAR壓縮格式的附檔裡面內含一個名為Ticket.exe的安裝程式,執行該檔後會解出Ticket.doc文件檔以及Micrass惡意程式。
這種攻擊最引人關切的部分,就是從2015年初起,攻擊者開始運用從被入侵組織偷來的文件,以此媒介發動進一步的攻擊。這些文件原本並沒有對外公開流傳,內容看起來也不像是由攻擊者自行編撰,再加上因為它們內含涉及特定行業的機敏資料,因此不太可能是由第三方偽造。
MILE TEA 是已經有5年活動史的鎖定目標式攻擊,對象瞄準亞太與日本地區的企業與政府機構。幕後的攻擊者一直維護與使用多個系列的惡意程式,內含自行撰寫的安裝程式。攻擊者瞄準的主要為經營版圖橫跨多國的企業,從日常用品的貿易商一直涵蓋到航線遍及全球的航空公司。另一種可能目標是日本的石油公司,他們經常在海外設立多處辦公室與子公司。另外包括日本的公家機關以及台灣的政府機構也是被鎖定的目標。
Palo Alto Networks的用戶可透過以下方法防禦這類攻擊威脅:
- WildFire能精準將這類攻擊有關的所有程式碼辨識為惡意內容
- 在Threat Prevention中,這類攻擊所使用的網域都已被自動標註為惡意類別
- AutoFocus使用者看到系統運用包括“Micrass”、”Elirks”、以及”Logedrut”等標籤來標記和這類攻擊有關的惡意程式
作者:Kaoru Hayashi