Trellix Threat Labs 研究報告：2022 年 4 月

來自我們首席科學家的一封信

歡迎閱讀我們最新的威脅報告。

嶄新的年度已邁過了近四分之一，若用温和一點的講法來說，那就是：我們今年起跑得算輕鬆。我們雖慢慢地甩離這股盛行潮，但隨近期歐亞地區衝突而起的不確定性，仍主導著我們的日常生活及對談。

初衷剖白：Trellix 主張和平。無論哪一方捲入任何衝突，保護我們的客戶以及遵守國際法規，是我們堅守的使命。我們準備這份報告的當下，仍繼續進行著研究，同時也保持警覺。例如，最初設定以南美企業為主要入侵對象的 Lapsus$ 組織攻擊了全球各地的大型公司，導致各公司的敏感資料外洩，包含原始程式碼以及授權憑證。

我們也觀察到這些憑證被濫用。二進位惡意軟體的簽章範例、嘗試繞過取得操作系統和資安產品信任的方法。有關該組織的詳細資訊、其最新的違規行為與防範對策，請前往這裡閱讀。

我們在新公司成立以來的第二份威脅報告中，也認同 (網路) 事件佔據了全球頭條新聞的版面。無論是對烏克蘭基礎設施的攻擊，或是侵入任何受感染的設備毀損開機磁區的 HermeticWiper 惡意軟體，網路安全性已成為多數人在新的一年裡最為關心的課題。我們另回顧了 2021 年第 4 季，當時 Log4shell 漏洞影響了數億台設備，而現今許多設備正面臨新年度爆發的全新威脅。

Trellix Threat Labs 團隊多年來始終勇居前線，不遺餘力地分析、研究勒索軟體。2021 年 12 月，我們與公營部門通力合作，一舉成功拘捕惡意分子並阻斷勒索軟體的運作，斐然成果足以自豪。Conti 勒索軟體集團以及 Trickbot 惡意軟體組織近來外洩的聊天記錄內容，揭露了這些集團組織在運作執行面的專業程度。這也代表著，我們需要公營部門與各私營團體之間彼此達成共識，進而阻止這些攻擊，避免遭受破壞。

此外，請閱覽我們的  Trellix Threat Labs 部落格網頁 ，內容包含我們提供的最新威脅資訊、影片與資訊安全佈告連結。

本報告也重點介紹了市場上所觀察到的其他普遍威脅與攻擊。

—Christiaan Beek
首席科學家

Christiaan Beek Twitter

Trellix Threat Labs 發現可疑的 DarkHotel APT 活動更新

今年 3 月，Trellix 發現了自 2021 年 11 月下半月起針對中國澳門豪華酒店的第一階段惡意活動。攻擊由一封魚叉式網路釣魚 (Spear Phishing) 電子郵件為始，設定以酒店主管人員為目標對象。主管人員的角色包含了人力資源副總裁、副理以及櫃台經理。依據職稱來看，我們可以假設目標對象都具有足夠的權限存取酒店網路，包含訂房系統。運作方式：

• 該封用來進行魚叉式網路釣魚 (Spear Phishing) 攻擊的電子郵件含有 Excel 工作表附件。Excel 工作表用於欺騙受害目標對象，意圖讓他們開啟附件，啟動嵌入其中的惡意巨集。
• 這些巨集啟用了數種機制，請參閱《技術分析 》章節的詳細說明以及下方傳播流程圖的概述。
• 巨集首先會建立一個工作排程，用以執行識別、資料列表以及資料外流。
• 接著，為了與用來外洩受害對象資料的命令與控制伺服器通信，巨集會運用已知的 lolbas (Living Off the Land Binaries and Scripts) 技術，將 PowerShell 命令列當成受信任的指令碼執行。

有關 DarkHotel APT 的背景、屬性、活動以及技術分析的詳細資訊，請閱讀我們的部落格。

Trellix Threat Labs 發現行政院院長辦公室遭受入侵

我們的團隊在 1 月份宣布發現了一項多階段間諜活動，該活動鎖定的目標為監督國家安全政策的高級政府官員以及負責西亞國防工業的幾位個別對象。Trellix 於消息發布前向受害對象預先披露資訊，並且提供完整的內容，供受害對象將所有已知的攻擊元件從電腦環境移除。

針對本次攻擊的程序，分析作業從執行包含入侵攻擊 MSHTML 遠端程式碼執行漏洞 (CVE-2021-40444) 的 Excel 檔開始著手。它的用途是將第三階段惡意軟體 Graphite 的惡意 DLL 檔案充當特洛伊木馬下載程式執行。Graphite 是以 One-Drive Empire 程式碼段 (Stager) 為基礎的全新惡意軟體範本，會透過 Microsoft Graph API 將 OneDrive 帳戶當成指令與控制伺服器利用。

這次多階段攻擊的最末幾個階段 (我們認定與 APT 活動有關) 包括執行不同的 Empire 程式碼段，最後在受害對象的電腦上下載 Empire 代理程式，並攻擊指令與控制伺服器，進而遠端控制系統。

下圖顯示這次攻擊的完整程序。

有關階段、基礎結構和屬性的詳盡深入分析，請閱讀我們的部落格。

方法

Trellix 的後端系統提供遙測數值，供我們應用於季度威脅報告中。我們將遙測數值與威脅相關的開放原始碼情報進行統整，也和我們自己對勒索軟體、民族國家活動等普遍威脅的調查相互結合。

當我們論及遙測時，我們談的是偵測，而不是感染。偵測是指，透過我們的某一項產品對某個檔案、URL、IP 位址或其他指標進行偵測，並回報偵測的結果。

客戶的隱私對我們至關重要。而當遙測歸納的數值對應到我們客戶的產業領域以及國家/地區時，隱私這一點更不容忽視。每個國家/地區的客戶群不同，呈現的數值可能會攀升，我們因而必須更深入研究資料以進行解釋。電信產業即為其中一例，該領域在我們資料裡所顯示的分數向來很高。但這未必代表該產業是被高度鎖定的目標。ISP 供應商也隸屬電信產業 ，它們擁有許多 IP 位址空間可供企業購買。這意味著什麼？即便 ISP 供應商所提交的 IP 位址空間顯示為電信偵測，卻可能是 ISP 提供予不同產業領域的客戶營運所用。

勒索軟體

在 2021 年的最末季，勒索軟體的發展生態仍不斷演化。勒索軟體與我們在先前報告中描述的大型攻擊不同，除了發動攻擊者必須事先找一台新的潛藏主機以外，執法單位也開始主動打擊備獲關注的幾個勒索軟體集團。REvil/Sodinokibi 是這些惡意集團的其中一員，在第 3 季時仍立於頂尖勒索軟體系列之列，惡名昭彰。然而，在歷經基礎設施被協調式移除、幾起內部糾紛以及集團成員被捕之後，REvil 便從勒索軟體的舞台黯然退場。Trellix 投身 REvil 偵查計劃，協助提供惡意軟體分析、定位關鍵的基礎設施並找出多位嫌疑人，成果令我們萬分自豪。

到了 2021 年第 4 季，我們資料所顯示的前 3 名分別為 Lockbit、Cuba 和 Conti Ransomware。我們猜想，REvil 剩餘的成員很可能早已利用這幾種勒索軟體系列另闢新局，重啟新戰線。

而這份報告墨水未乾之際，整體發展生態再度截然不同。已躋身最龐大系列之一的 Conti 集團，在互聯網上有數千筆內部聊天記錄外洩，他們的內部秘密也因此暴露無遺。我們將這次外洩訂名為勒索軟體界的「Panama Papers」事件，在下一季的報告中，我們將對整起事件提出重點見解。

為了協助企業更詳加瞭解勒索軟體的整體發展概況，進而妥善防範勒索軟體攻擊，我們的 Threat Labs 團隊針對各種盛行的勒索軟體威脅進行研究，同時提供 2021 年第 4 季的研究成果見解 (包括系列、技術、國家/地區、產業領域和發動媒介)。