• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:312

●重點摘要：
1.Unit 42最近觀察到一隻名為"9002"的木馬，結合短網址並透過Google Drive上的分享檔案等的攻擊手法進行散佈。用到的其他散佈方法還包括運用被駭客控制的伺服器，裡頭運行著重導向用戶瀏覽器的 Script，這類 Script 還被用來追蹤連至目標電郵位置的成功點擊動作。這些攻擊都運用Poison Ivy木馬作為主體，且可能和最近向台灣發起持續攻擊的行動有關連。
2.它用到短網址功能(本案例中用的是 TinyURL 短網址服務)來散佈9002木馬。這種短網址形式如下:
hxxp://tinyurl[.]com/zmu4dry
這種短網址鏈結會把受害者重新導向被駭客控制的伺服器，這種重導向伺服器裡頭裝著 Script 程式負責把瀏覽器重導向到另一個網址。
3.在木馬主體方面，木馬檔案下載程式會在使用者目前處在的資料夾(%USERPROFILE%)裡建立一個隨機命名的資料夾，這個資料夾用來儲存以下檔案:
▉RealNetwork.exe (SHA256: 10d40c51d85ea9ced6050b8951802aaebe81f7db13f42fe5a5589172af481a7e)
▉main.dll (SHA256: 53671fe98a0c8c85f6f8eabfa851e27b437f6c392b46e42ddea3f0a656591b12)
▉mpaplugins\MPAMedia.dll(SHA256: f76f639f2a7b8f39abf83737c6d3e533be66398c85ec95526e4b13561e15fbae)

4.TWCERT/CC提醒使用者，駭客會發掘新的手法以散佈惡意程式碼。運用短網址服務與重導向伺服器能進一步提高攻擊的成功率，對於不請自來的電子郵件務必確認其內容合理性，勿隨意點選夾帶的檔案及網路連結，降低遭駭風險。

攻擊手法： 「9002」的木馬程式結合短網址並透過Google Drive的分享檔案手法散佈木馬

參考連結：

http://www.ettoday.net/news/20160818/758369.htm

http://www.hkitblog.com/?p=35701