Patchwork 攻擊團體的目標已不僅限於與政府相關組織。我們針對該團體的研究發現,該團體已開始攻擊各行各業,並留下後門木馬程式。受害產業包括航空業、廣播業及金融業。
賽門鐵克安全機制應變中心持續積極監控 Patchwork (又名 Dropping Elephant),該團體使用中國相關主題的內容來引誘目標,並藉此入侵目標網路。Cymmetria 和 Kaspersky 這兩家安全公司最近也發表關於此團體活動的報告,其中多數內容與我們的觀察發現相符。
[click_to_tweet:1]
目標
正如其他研究人員觀察所見,Patchwork 原先是以政府和與政府相關的組織做為目標。然而,如今此團體已擴大攻擊範圍,以囊括更多產業。
雖然其重心仍舊放在公家機關,但近來我們發現有更多攻擊的目標鎖定下列產業:
- 航空業
- 廣播業
- 能源業
- 金融業
- 非政府組織 (NGO)
- 製藥業
- 公家機關
- 出版業
- 軟體業
根據賽門鐵克遙測結果,遭到鎖定的企業分佈在各個不同地區。儘管近半數的攻擊目標位於美國,其他地區如中國、日本、東南亞及英國也有受到攻擊。
[click_to_tweet:2]
攻擊媒介
我們最早在 2015 年 11 月觀察到與本活動相關但未得手的攻擊。然而,賽門鐵克遙測資料顯示,此活動可能在 2015 年初甚至更早便已存在。
威脅行動者主要依靠合法郵件名單供應商,傳送電子報給一些選定的目標。此電子報會包含連往攻擊者網站的連結,網站中含有關於中國主題的內容,用以引起目標對象的興趣。這些網站所在的網域和郵件名單供應商相同。每個網站都會專為覬覦的目標量身打造,包含與目標產業相關的特定主題。
圖 1.包含關於中國公立醫院內容的客製化網站
圖 2.包含關於中國軍隊內容的客製化網站
這些惡意網站會連結到位於不同網域的檔案,而這些檔案顯然完全是用於不良意圖。這些網域會以合法中國情報來源的名稱註冊。常用於進行攻擊的數個網域位於兩台伺服器上,其 IP 位址分別為 212.83.146.3 和 37.58.60.195。
這些網站有兩個不同類型的惡意檔案:一個是 PowerPoint 檔案 (.pps),另一個是帶有 Word .doc 副檔名的 RTF 檔案。
該 PowerPoint 檔案似乎會利用 Microsoft Windows OLE Package Manager 遠端程式碼執行漏洞 (CVE-2014-4114)。此漏洞也同樣用於 Sandworm 攻擊,並在 2014 年 10 月攻擊了美國和歐洲的目標。該 RTF 檔案通常會嘗試利用 Microsoft Office 記憶體損毀漏洞(CVE-2015-1641),該漏洞已於 2015 年 4 月修補完成。我們也確認有一個較早的瑕疵遭到利用:Microsoft Windows 常見控制項 ActiveX 控制遠端程式碼執行漏洞 (CVE-2012-0158)。
從我們可確認的資訊得知,這些文件包含可自合法網站公開取得內容的複本。主題從軍隊/國防、醫院到海軍糾紛都有,甚至包括惡意程式移除。
惡意 PowerPoint 檔案
這種 .pps 檔案可能會利用 Microsoft Windows OLE Package Manager 遠端程式碼執行漏洞 (CVE-2014-4114)。然而,本次活動中利用此漏洞的方式和過去觀察到的類似情況有些許不同。由於修補程式的設計宗旨僅在於警告使用者,在缺乏與使用者互動的情況下,無法完全防止惡意程式感染,因此就遭到利用。
此檔案在 PowerPoint 2016 中開啟時,全然不會發生異常狀況。然而,若用舊版的 PowerPoint 開啟檔案,則會顯示安全性警告,詢問使用者是否要依據環境 (例如作業系統版本和使用的修補程式) 開啟 driver.inf。
圖 3.以 2016 之前的版本的 PowerPoint 開啟該 .pps 檔案,就會顯示此提示
若使用者選擇開啟檔案,電腦就會遭到入侵。若使用者選擇不開啟,則電腦不會受到感染。不過,Backdoor.Enfourks 會留在系統中,並在 .pps 檔案開啟時進入暫存目錄 (儘管並未執行)。如此將使鎖定的目標有遭到入侵的風險。
我們已在實驗室中測試所有版本的 PowerPoint 並確認此問題。使用者應手動移除任何可能遺留、且一般命名為「sysvolinfo.exe」的檔案。
惡意 Word .doc 檔案
除 .pps 檔案外,威脅行動者也使用 RTF 檔案來散播惡意程式。除了其他研究人員報告此檔案會利用的 CVE-2012-0158 外,賽門鐵克也觀察到,此檔案會利用 CVE-2015-1641 以留下 Backdoor.Steladok。
主要酬載
.doc 和 .pps 檔案主要會留下兩種惡意程式系列。一般來說,該 PowerPoint 投影片檔案會留下 Backdoor.Enfourks。這是一種 AutoIT 執行檔,會以無意義的資料不斷膨脹,主要以 32 位元系統做為攻擊目標。.doc 檔案則會留下 Backdoor.Steladok。
兩種後門木馬程式都會等待來自威脅行動者的命令。在啟動後,兩者都能搜尋檔案,並將檔案上傳到指定的伺服器。此兩種威脅都會利用中國軟體廠商百度來發動攻擊,原因不明。此木馬程式會在每次 Windows 啟動時偵測百度伺服器,並以廠商名稱建立登錄項,藉此確認網際網路連線。雖然這兩種檔案是用來散布兩種不同酬載,不過可能有許多個人或團體在協助惡意程式的開發。
降低威脅
使用者應遵守下列建議,以避免 Patchwork 的攻擊成功得手:
- 刪除任何可疑的電子郵件,尤其是含有連結或附加檔案的郵件。網路間諜活動攻擊者常使用魚叉式網路釣魚電子郵件,以誘騙受害者開啟惡意檔案。
- 時常更新您的作業系統和其他軟體。軟體更新中常包含針對新發現漏洞的修補程式,可修正常遭攻擊者利用的漏洞。
- 確保您的安全軟體是最新版本,以保護您抵禦最新變種惡意程式的威脅。
防護方法
賽門鐵克和諾頓的產品能偵測下列 Patchwork 製作的惡意程式:
防毒:
入侵預防系統:
入侵指標
下列資料詳細列出了可疑的網域、IP 位址和檔案,可能表示 Patchwork 已入侵電腦:
可疑的網域和 IP 位址:
- chinastrats.com
- epg-cn.com
- extremebolt.com
- info81.com
- lujunxinxi.com
- militaryworkerscn.com
- milresearchcn.com
- modgovcn.com
- newsnstat.com
- nudtcn.com
- socialfreakzz.com
- 81-cn.net
- cnmilit.com
- nduformation.com
- expatchina.info
- info81.com
- climaxcn.com
- expatchina.info
- miltechcn.com
- miltechweb.com
- securematrixx.com
- 46.166.163.242
- 212.129.13.110
偵測名稱 |
MD5 |
檔案名稱 |
Trojan.PPDropper |
0bbff4654d0c4551c58376e6a99dfda0 |
|
Trojan.PPDropper |
1de10c5bc704d3eaf4f0cfa5ddd63f2d |
MilitaryReforms2.pps |
Trojan.PPDropper |
2ba26a9cc1af4479e99dcc6a0e7d5d67 |
2016_China_Military_PowerReport.pps |
Trojan.PPDropper |
375f240df2718fc3e0137e109eef57ee |
PLA_UAV_DEPLOYMENT.pps |
Trojan.PPDropper |
38e71afcdd6236ac3ad24bda393a81c6 |
militarizationofsouthchinasea_1.pps |
Trojan.PPDropper |
3e9d1526addf2ca6b09e2fdb5fd4978f |
How_to_easily_clean_an_infected_computer.pps |
Trojan.PPDropper |
475c29ed9373e2c04b7c3df6766761eb |
PLA_Forthcoming_Revolution_in_Doctrinal_Affairs.pps |
Trojan.PPDropper |
4dbb8ad1776af25a5832e92b12d4bfff |
maritime_dispute.pps |
Trojan.PPDropper |
4dbb8ad1776af25a5832e92b12d4bfff |
Clingendael_Report_South_China_Sea.pps |
Trojan.PPDropper |
543d402a56406c93b68622a7e392728d |
2016_China_Military_PowerReport.pps |
Trojan.PPDropper |
551e244aa85b92fe470ed2eac9d8808a |
Assessing_PLA_Organisational_Reforms.pps |
Trojan.PPDropper |
6877e60f141793287169125a08e36941 |
Clingendael_Report_South_China_Sea.pps |
Trojan.PPDropper |
6d8534597ae05d2151d848d2e6427f9e |
cn-lshc-hospital-operations-excellence.pps |
Trojan.PPDropper |
74fea3e542add0f301756581d1f16126 |
Clingendael_Report_South_China_Sea_20160517Downloaded.pps |
Trojan.PPDropper |
812a856288a03787d85d2cb9c1e1b3ba |
|
Trojan.PPDropper |
8f7b1f320823893e159f6ebfb8ce3e78 |
|
Trojan.PPDropper |
b163e3906b3521a407910aeefd055f03 |
china_security_report_2016.pps |
Trojan.PPDropper |
d456bbf44d73b1f0f2d1119f16993e93 |
|
Trojan.PPDropper |
e7b4511cba3bba6983c43c9f9014a49d |
Chinastrats.com netflix2.pps |
Trojan.PPDropper |
ebfa776a91de20674a4ae55294d85087 |
Chinese_Influence_Faces_2.pps |
Trojan.PPDropper |
eefcef704b1a7bea6e92dc8711cfd35e |
Top_Five_AF.pps |
表 1.和此攻擊活動有關的惡意 PowerPoint 投影片
偵測名稱 |
MD5 |
檔案名稱 |
Trojan.Mdropper |
2099fcd4a81817171649cb38dac0fb2a |
|
Trojan.Mdropper |
3d852dea971ced1481169d8f66542dc5 |
China_Vietnam_Military_Clash.doc |
Trojan.Mdropper |
4ff89d5341ac36eb9bed79e7afe04cb3 |
Cyber_Crime_bill.doc |
Trojan.Mdropper |
7012f07e82092ab2daede774b9000d64 |
china_report_EN_web_2016_A01.doc |
Trojan.Mdropper |
735f0fbe44b70e184665aed8d1b2c117 |
Cyber_Crime_bill.doc |
Trojan.Mdropper |
7796ae46da0049057abd5cfb9798e494 |
|
Trojan.Mdropper |
e5685462d8a2825e124193de9fa269d9 |
PLA_Forthcoming_Revolution_in_Doctrinal_Affairs2.doc |
Trojan.Mdropper |
f5c81526acbd830da2f533ae93deb1e1 |
Job_offers.doc |
表 2.和此攻擊活動相關的惡意 RTF 檔案
偵測名稱 |
MD5 |
Backdoor.Steladok |
0f09e24a8d57fb8b1a8cc51c07ebbe3f |
Backodor.Enfourks |
233a71ea802af564dd1ab38e62236633 |
Backdoor.Steladok |
2c0efa57eeffed228eb09ee97df1445a |
Backodor.Enfourks |
3ac28869c83d20f9b18ebbd9ea3a9155 |
Trojan.Gen.2 |
465de3db14158005ede000f7c0f16efe |
Trojan.Gen.2 |
4fca01f852410ea1413a876df339a36d |
Backodor.Enfourks |
61e0f4ecb3d7c56ea06b8f609fd2bf13 |
Backodor.Enfourks |
6b335a77203b566d92c726b939b8d8c9 |
Backodor.Enfourks |
a4fb5a6765cb8a30a8393d608c39d9f7 |
Backodor.Enfourks |
b594a4d3f7183c3af155375f81ad6c3d |
Backodor.Enfourks |
b7433c57a7111457506f85bdf6592d18 |
Backodor.Enfourks |
b7433c57a7111457506f85bdf6592d18 |
Backodor.Enfourks |
c575f9b40cf6e6141f0ee40c8a544fb8 |
Backodor.Enfourks |
d8102a24ca00ef3db7d942912765441e |
Backdoor.Steladok |
f47484e6705e52a115a3684832296b39 |
Backodor.Enfourks |
f7ce9894c1c99ce64455155377446d9c |
Infostealer |
ffab6174860af9a7c3b37a7f1fb8f381 |
表 3.和此攻擊活動相關的酬載