惡意勒索軟體 Ransomware

用於竊取個人、企業相關機敏資訊
惡意勒索軟體 Ransomware

中國資助的駭客 TA413 使用新手法攻擊西藏組織

2022-09-28

#事件概述

知名資安新聞網站 Recorded Future 的研究團隊 Insikt Group 於本月 22 日時發佈了一份對於「中國資助的駭客 TA413 使用新型後門程式 Lowzero 攻擊西藏」的研究手法報告書:(詳情請見:https://go.recordedfuture.com/hubfs/reports/cta-2022-0922.pdf

近期西藏組織受到頻繁的攻擊,攻擊包含:對 Sophos 防火牆漏洞的利用、魚叉式釣魚 (spearphising) 以及被稱之為皇家之路 (Royal Road) 的攻擊型 RTF 漏洞利用,進而對攻擊對象的設備安裝後門程式 Lowzero,並進行資料傳輸的惡意資訊竊取。

 

#為什麼專家認為攻擊來自 TA413?

針對近期的攻擊行為,insikt Group 對攻擊者與 TA413 進行了 TTPs (tactics, techniques and procedures) 的比對,並發現:本次攻擊所使用的魚叉式釣魚 (spearphising) 信箱,與過去幾年 TA413 所使用的信箱記錄相符、且也在URI 中使用了相同的字串組合等,並在經過歷史活動比對後,認為 TA413 本次的攻擊行為是先前被公開的 Tropic Trooper 活動的其中一員 ,且與其他成員相似的是,參與類似攻擊行為的成員可能都接受了中國政府的資助,並使用相似的網絡攻擊資源。

 

#TA413 今年所發起的攻擊概述

一、利用 Sophos 防火牆的零日漏洞,對於南亞地區的少量主機進行攻擊 #三月

TA413 在今年三月之前,透過Sophos 防火牆的零日漏洞- CVE-2022-1040,繞過身份驗證,對受害的主機內部的 User Portal 和 Webadmin of Sophos Firewall 進行遠端的控制。Sophos 在偵測到此可疑活動之後,也針對所有可能被害的主機發送了通知。並發現共有三個中國組織皆透過此漏洞進行惡意攻擊,其中之一便是本次攻擊西藏組織的主角- TA413。

 

二、利用別稱「皇家之路」(Royal Road) 的 RTF 攻擊手段對西藏組織發起惡意攻擊

「皇家之路」(Royal Road) 經常是受中國資助下的組織們共享的攻擊手法,是惡意攻擊者透過 CVE-2017-118822, CVE-2018-0798, CVE- 2018-0802 等 Microsoft Equation Editor 中的弱點,建立具有傷害性的RTF 文字檔,進而在受害設備中下載惡意後門程式。

細節請參考:https://www.bleepingcomputer.com/news/security/new-microsoft-office-zero-day-used-in-attacks-to-execute-powershell/


 

#本次的攻擊手法

在今年五月,TA413被發現透過魚叉式釣魚(spearphising) 的方式,假冒西藏行政單位,並以「支持西藏女性攝影家」的名義將含有惡意附檔的信件寄送給西藏組織社群。此信件的發送 IP domain也模擬官方以 tibet-gov.web[.]app 的方式呈現。此類信件的發送可以分為兩個階段:(1) 第一個階段,信件中會附上一個建立在 Google Firebase service 上的 Microsoft Word (.docx) 連結 ; (2) 第二個階段,連結會接至一個 .RAR 的檔案,其中包含了可疑的 Microsoft Word 檔案和一個誘餌.png 圖檔。

一旦該可疑的Microsoft Word 檔案被開啟,將會誘發設備自遠端的server下載的一個 HTML 檔案。此  HTML 檔案會利用 Follina 漏洞下載0524x86110.exe 的執行檔。之後便會透過此過程,安裝 LOWZERO 後門程式。

透過 LOWZERO 後門程式,受害的設備會將資訊傳送給遠端的 command-and-control 伺服器 (TA413);除此之外,Lowzero 還能夠通過先前接收的數據,從另一個連接代理 (proxy) 通過網絡偵聽器接收到的資訊。

其他詳細攻擊內容,請參考 Insikt Group 所發佈的報告書:https://go.recordedfuture.com/hubfs/reports/cta-2022-0922.pdf

 

參考資料

  1. Chinese State-Sponsored Group TA413 Adopts New Capabilities in Pursuit of Tibetan Targets, RecordedFuture (22 Sep 2022)-https://www.recordedfuture.com/chinese-state-sponsored-group-ta413-adopts-new-capabilities-in-pursuit-of-tibetan-targets

  2. Chinese State-Sponsored Group TA413 Adopts New Capabilities in Pursuit of Tibetan Targets, TreatAnalysis-China-RecordedFuture (22 Sep 2022)-https://go.recordedfuture.com/hubfs/reports/cta-2022-0922.pdf

  3. 【資安日報】2022年9月27日,中國駭客TA413利用後門程式Lowzero攻擊圖博人士, iThome (27 Sep 2022)- https://www.ithome.com.tw/node/153295

 

TOP