MILE TEA: 網路間諜活動瞄準亞太企業與政府機構

0
206

在2016年6月,Unit 42在部落格發表專文《追蹤在日本的Elirks變種:與先前攻擊的相似之處》文中提及日本與台灣Elirks惡意程式家族發動攻擊的相似處。自此之後,我們透過Palo Alto Networks的 AutoFocus持續追蹤這項威脅,並發現這類攻擊的更多細節,包括目標資訊在內。我們看過這種攻擊的許多樣本,並將它們命名為“MILE TEA” (MIcrass Logedrut Elirks TEA的英文簡寫),這類最早在2011年初出現的攻擊,其鎖定目標的範圍一直持續擴展。除了涉及多個惡意程式家族外,這種攻擊還經常用偽冒成電子機票的附檔來蒙騙被害人。目前發現遭受攻擊的標的包括三家日本貿易公司、一家日本石油公司,一家日本的行動電話營運商、一家日本公營機構的北京辦事處以及台灣一個政府機關。

在最初3年,大多數接獲通報的攻擊都是從台灣發起。另外還在其他亞洲國家發現幾件感染事件,但數量非常少。在2013年中,攻擊發起基地開始轉到日本。從2015年開始,大多數接獲通報的攻擊都是來自日本。主要的傳播媒介是一封魚叉式網路釣魚電郵,其附檔內含惡意程式。我們從這類攻擊收集到許多種類的感染檔案(包括RTF、XLS、PDF等格式),然而大多數附檔的真正形態都是可執行檔,也就是一個安裝程式。

我們在2015年3月發現一份被寄送到台灣政府機構的魚叉式網路釣魚電郵。寄信者偽冒成一家航空公司,RAR壓縮格式的附檔裡面內含一個名為Ticket.exe的安裝程式,執行該檔後會解出Ticket.doc文件檔以及Micrass惡意程式。

這種攻擊最引人關切的部分,就是從2015年初起,攻擊者開始運用從被入侵組織偷來的文件,以此媒介發動進一步的攻擊。這些文件原本並沒有對外公開流傳,內容看起來也不像是由攻擊者自行編撰,再加上因為它們內含涉及特定行業的機敏資料,因此不太可能是由第三方偽造。

MILE TEA 是已經有5年活動史的鎖定目標式攻擊,對象瞄準亞太與日本地區的企業與政府機構。幕後的攻擊者一直維護與使用多個系列的惡意程式,內含自行撰寫的安裝程式。攻擊者瞄準的主要為經營版圖橫跨多國的企業,從日常用品的貿易商一直涵蓋到航線遍及全球的航空公司。另一種可能目標是日本的石油公司,他們經常在海外設立多處辦公室與子公司。另外包括日本的公家機關以及台灣的政府機構也是被鎖定的目標。

Palo Alto Networks的用戶可透過以下方法防禦這類攻擊威脅:

1. WildFire能精準將這類攻擊有關的所有程式碼辨識為惡意內容
2. 在Threat Prevention中,這類攻擊所使用的網域都已被自動標註為惡意類別
3. AutoFocus使用者看到系統運用包括“Micrass”、”Elirks”、以及”Logedrut”等標籤來標記和這類攻擊有關的惡意程式

關於 PALO ALTO NETWORKS
Palo Alto Networks 為引領網路安全新時代的新一代安全企業,可為全球數以萬計的企業保護應用程式,免受網路威脅。Palo Alto Networks極具顛覆性的安全平台所提供的安全性遠高於傳統或單項產品,採用創新方法及高度差異化的網路威脅防禦功能,確保企業營運安全,並保護企業最重要的資產。更多資訊請瀏覽 www.paloaltonetworks.com。

Palo Alto Networks、Palo Alto Networks logo為 Palo Alto Networks公司在美國及全球其他地區的註冊商標。所有本文中出現的其他商標、企業名稱或服務,亦為各公司所擁有。

傳媒查詢:
Martina Schulze-Warnecke
Palo Alto Networks
亞太及日本區企業傳訊高級經理
電話: +65-66431457
E-mail: [email protected]

新聞稿代發機構:
采杰公關顧問股份有限公司
聯絡人:周允中 / 林祖祺
電話:(02)2366-1899 分機136/123
E-mail: [email protected] / [email protected]

panw_logo_green_375x200

LEAVE A REPLY

Please enter your comment!
Please enter your name here