대만 정부 기관에 대하여 변론 표적 공격

최근의 공격 범인 검거 보고서 대상으로 하반기 2013 년  우리는 우리가 대만에서 여러 대상 공격 캠페인 관련 공격을보고 한 것을 지적했다.

우리는 현재 구체적으로 대만 정부와 행정 기관을 대상으로 캠페인을 모니터링하고 있습니다. 우리는이 특정 캠페인 때문에 관련 악성 코드에 의해 발행 된 백도어 명령의 문자의 변론 명명된다.

이 캠페인에 대한 항목의 포인트는 이메일을 통해입니다. 변론 캠페인에 위협 배우 사용 (오른쪽에서 왼쪽으로 재정의) 기술을 RTLO을 압축을 푼 파일의 파일 확장자가없는 실행, 즉, 의심이 아니라고 생각으로 대상받는 사람을 속이기 위해.

변론 캠페인에 관련된 경우에 RTLO 기술은 기술 컨설턴트 회의를위한 참고 자료로 purporting, 대만에있는 특정 사역을 대상으로하는 경우와 같이, 제대로 구현되었습니다

그림 1. 대만 정부 기관에 이메일을 전송

.7 z는 첨부 파일을 압축 해제하면,받는 사람은 파워 포인트 문서와 Microsoft Word 파일 것 같다 무엇을, 두 개의 파일을 볼 수 있습니다. 기본적으로 오른쪽에서 왼쪽으로 쓰는 언어를 지원하기 위해 만든 유니 코드 문자를 활용 RTLO 기술은, 첫 번째 파일에 분명하다. 그것은, 사실, 화면 보호기 파일이더라도 PPT의 P 전에 RTLO위한 유니 명령을 입력함으로써, 전체 파일 이름의 외관, 파일 파워 포인트 문서 인 것처럼 보이게한다.

위협 배우가 누구의 기능 만 이메일의 사실성을 추가하는 것입니다 추가 미끼 문서, 그림 2에서 두 번째 파일,. DOC 파일을 포함.

그림 2. 포장을 푼 첨부 파일을 보여줍니다 . SCR 파일과 직장에서 RTLO 트릭

추가 피해자를 확인하려면. SCR 파일. PPT 파일이라고 생각합니다,. SCR 파일은 실제로 단지 미끼 역할을하는 다음. PPT을 삭제합니다.

그림 3.. SCR이. PPT 파일을 삭제 미끼

위의 경우에 RTLO 트릭은 성공하지만, 경우에 따라서는 같은 캠페인에 속하는이 스피어 피싱 메일과 같이하지 않았다.이 시간은 이메일 대만 비즈니스 기업에 대한 통계 데이터에 대한 척 :

그림 4. 두 번째 이메일 샘플, 전송이 때 다른 대만 정부 기관에

그림 5. 포장을 푼 첨부 파일이 실행 가능한 것을 알 수

우리는 또한 사용하여 공격의 사용 관찰 CVE-2012-0158 긴으로 패치했다 취약점, MS12-027 , 2012 년을.이 취약점은 Windows 공용 컨트롤에 존재하는 악성 코드를 실행하는 공격자 할 수있는,하고있는 공통 공격 대상에있는 취약점을 해결합니다.

그림 6. 세 번째 샘플의 이메일 사용은 악용

변론 캠페인의 페이로드는 일반적으로 첫 번째 자신의 코드를 해독하고 다른 프로세스에 자신을 삽입 백도어이다. 설치는 다음에 하나의 샘플에서 다르지만, 일반적으로 관련 백도어는 피해자의 컴퓨터에서 다음과 같은 정보를 수집합니다 :

• 사용자 이름
• 컴퓨터 이름
• 호스트 이름
• 현재 악성 프로세스 ID

이것은 종종 그것의 작업을 모니터링 할 때 위협 행위자는 특정 피해자를 추적 할 수있는 방법입니다. 연결이 원격 서버와 함께 설정되면, 백도어은 해당 명령을 실행한다 :

• 설치된 소프트웨어 / 프록시 설정을 확인
• 목록 드라이브
• 파일을 얻을
• 파일을 삭제합니다
• 원격 셸

이 명령은 정찰 활동의 전형이다.

우리는 여전히 변론 캠페인에 관련 C & 고사에 대한 연구와 악성 도구를 실시하고,이 캠페인의 폭에 대한 기술적 인 세부 사항을 제공 할 예정입니다. 그것은이 캠페인과 관련된 공격을 2012 년부터 주변에 나타납니다.