• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:432

●重點摘要
1. 資安專家發現一起名為「PLEAD」行動的APT攻擊事件，並和 Shrouded Crossbow (暗弩) 以及近期的 Waterbear (水熊)有相當關聯，可能同屬駭客團體 BlackTech
2. BlackTech從 2012 年在東南亞地區活躍至今，除日本和香港地區外，尤其針對台灣，並專門竊取機密文件，曾經攻擊台灣的政府機關和民間機構
3. 資安專家表示，根據其幕後操縱 (C&C) 伺服器的 mutex 和網域名稱來看，BlackTech 的行動主要是竊取攻擊目標的機密技術
4. 此活動主要透過電子郵件， 並以RTLO（從右至左覆蓋）技術欺騙目標收件者，比如將檔案名稱xxx.fdp.scr 顯示成xxx.rcs.pdf
5. RTLO技術是利用支援由右到左書寫語言的Unicode字元，攻擊者透過RTLO的攻擊模式可以在檔名的中間插入轉碼字元，使惡意檔案在系統上看似正常
6. 資安專家研析發現：相同的 C&C 伺服器、彼此配合的攻擊行動、類似的工具、技巧和目標，因此推測這些行動背後都是由同一個組織所掌控。
7. 資安專家分析，PLEAD 的後門程式可讓歹徒：
A. 蒐集瀏覽器和電子郵件用戶端 (如 Outlook) 所儲存的登入憑證。
B. 列出系統上的磁碟、執行程序、開啟的視窗以及檔案。
C. 開啟遠端指令列介面。
D. 上傳目標檔案。
E. 透過 ShellExecuteAPI 執行應用程式。
F. 刪除目標檔案。

●TWCERT/CC建議，切勿任意開啟電子郵件夾帶檔案，如寄件者來自熟悉帳號，亦應確認信件是否正常，以免遭有心人士利用。

攻擊手法：RTLO,Unicode Encoding

參考連結：

https://blog.trendmicro.com.tw/?p=50684
https://www.informationsecurity.com.tw/answers/answer_detail.aspx?tid=50