熱帶騎警APT強勢攻台 62%鎖定政府單位與重工業
趨勢科技發佈「熱帶騎警攻擊行動」觀察報告,指出台灣與菲律賓一直是此項APT威脅的首要目標,在過去三個月內,62%的攻擊行為都是針對台灣的政府單位與重工業,菲律賓的軍事單位則是另一個目標。根據趨勢科技病毒防治中心最新研究,駭客攻擊火力以今年3月份最為密集,連最常被利用的C&C伺服器也位於台灣。
報告中詳述攻擊行動的目標、階段與手法,趨勢科技也表示,如同其他 APT攻擊一樣,「熱帶騎警攻擊行動」已帶來重大危險,建議政府單位和企業都應有一套完整的監控策略與進階威脅防護工具,才能確切掌握並修補其網路的安全漏洞。
趨勢科技資深技術顧問簡勝財表示:「『熱帶騎警攻擊行動』自2012年起即現出蹤影,但在今年3月份對台灣的攻擊火力大幅增強,並仍持續進行中。被利用的C&C伺服器中,有43%位於台灣,其次則分別位於美國、香港和阿拉伯聯合大公國。」
簡勝財指出,這項攻擊行動之所以能夠成功,是綜合了許多因素,例如利用兩個至今最常遭到攻擊的 Windows漏洞:CVE-2010-3333 和CVE-2012-0158 來入侵目標網路,並且採用了基本的圖像隱藏術 (steganography) 來將惡意程式碼隱藏在圖片當中,再搭配聰明的社交工程技巧騙取收件者的信任,而不小心開啟洩漏資訊給駭客的後門。此外,截至目前為止,台灣仍有17%的系統還在使用微軟Windows XP作業系統,而許多企業對於如何防禦APT這種長期持續滲透的攻擊仍不熟悉、防護架構也不完整。
本次事件的攻擊手法,是先使用社交工程釣魚郵件、挾帶惡意附件檔案,進一步攻擊一些既有的漏洞,透過與收件者業務有關聯的郵件主旨、內容以及配合該情況的附件檔案名稱,趨勢科技曾發現的有:「關於104年中央政府總預算」或「實驗室電話表」等檔名,讓收件人不疑有他,進而下載並開啟郵件中所附的檔案。◇