Tropic Trooper運用Poison Ivy木馬程式滲透台灣政府機關與石油公司

多年來台灣一直是網路間諜攻擊者經常相中的目標，原因有很多，從涉及南海主權紛爭的主權國家，一直到經濟高度發展，還有作為亞洲高科技產業最具創新力的國家之一。在8月初，Unit 42發現兩種使用類似手法的攻擊。其中一項尤其讓人感興趣，就是鎖定台灣行政院秘書長的攻擊。行政院有許多部會，負責執行政府的各項政務。行政院院會負責審查法條與預算案，以及有關戒嚴法、特赦、宣戰、議和與簽定和約、以及其他重要國事。由於行政院擔負如此重要的任務，也難怪會成為被攻擊的標的。第二項攻擊則是鎖定台灣的能源公司。

在這個案例中，攻擊者使用名為Tropic Trooper(熱帶騎警)的進階持續性滲透攻擊手法，這種自從2011年就很活躍的APT攻擊經常瞄準台灣作為滲透目標。其中一類攻擊方法就是使用名為Yahoyah的惡意程式碼，但更多人採取行的方法是使用Poison Ivy遠端存取木馬程式作為駭客工具，Trend Micro公司在其報告中就曾觀察到這種手法，但當時還沒有加以確認。後來經過進一步的分析後找到許多線索，發現攻擊者可能還運用PCShare族系的惡意程式，之前還沒有將這樣的手法和這種攻擊建立關連性。

誘餌文件

如同我們在先前許多報告所述，駭客經常會利用誘餌文件來誘騙被害者，讓他們以為惡意文件其實是合法文件。在感染滲透到電腦之後，被害人從外觀看會認為它就像一個乾淨的文件，文件裡面有和自己相關的內容。

惡意程式碼分析

魚叉式網路釣魚電子郵件的附檔，被用在兩種攻擊行動，其中一種是內含利用CVE-2012-0158漏洞的程式碼，許多類型攻擊的駭客至今仍然在利用Microsoft Word這個最常被用來滲透的防禦漏洞。

這符合Tropic Trooper的手法、技巧、以及過程(TTP)，同時鎖定政府機構以及台灣的能源產業發動攻擊。

結論

Tropic Trooper威脅者團體過去至少六年以來一直鎖定亞太地區的政府與組織。除了使用Yahoyah惡意程式碼外，我們還確定他們還使用Poison Ivy 以及PCShare 族系的惡意程式碼。他們至今和許多駭客一樣還在利用CVE 2012-0158漏洞。Palo Alto Networks用戶能透過以下功能抵禦Tropic Trooper的惡意行動:

• WildFire能正確辨識所有相關惡意程式碼，判定它們為惡意
• PAN-DB將C2 infrastructure界定為惡意
• Traps能防止他人利用CVE-2012-0158漏洞

Autofocus用戶可透過以下AutoFocus標籤在Tropic Trooper發現額外資訊:

• Tropic Trooper
• Yahoyah
• Poison Ivy