駭客案例：如何運用 Poison Ivy 木馬程式滲透政府與石油公司？

作者：Vicky Ray, Robert Falcone, Jen Miller-Osborn and Tom Lancaster 

多年來台灣一直是網路間諜攻擊者經常相中的目標，原因有很多，從涉及南海主權紛爭的主權國家，一直到經濟高度發展，還有作為亞洲高科技產業最具創新力的國家之一。在 8 月初，Unit 42 發現兩種使用類似手法的攻擊。其中一項尤其讓人感興趣，就是鎖定台灣行政院秘書長的攻擊。

行政院有許多部會，負責執行政府的各項政務。行政院院會負責審查法條與預算案，以及有關戒嚴法、特赦、宣戰、議和與簽定和約、以及其他重要國事。由於行政院擔負如此重要的任務，也難怪會成為被攻擊的標的。第二項攻擊則是鎖定台灣的能源公司。

在這個案例中，攻擊者使用名為 Tropic Trooper (熱帶騎警)的進階持續性滲透攻擊手法，這種自從 2011 年就很活躍的 APT 攻擊經常瞄準台灣作為滲透目標。其中一類攻擊方法就是使用名為 Yahoyah 的惡意程式碼，但更多人採取的方法是使用 Poison Ivy 遠端存取木馬程式作為駭客工具，Trend Micro 公司在其報告中就曾觀察到這種手法，但當時還沒有加以確認。後來經過進一步的分析後找到許多線索，發現攻擊者可能還運用 PCShare 族系的惡意程式，之前還沒有將這樣的手法和這種攻擊建立關連性。

誘餌文件

如同我們在先前許多報告所述，駭客經常會利用誘餌文件來誘騙被害者，讓他們以為惡意文件其實是合法文件。在感染滲透到電腦之後，被害人從外觀看會認為它就像一個乾淨的文件，文件裡面有和自己相關的內容。

惡意程式碼分析

魚叉式網路釣魚電子郵件的附檔，被用在兩種攻擊行動，其中一種是內含利用 CVE-2012-0158 漏洞的程式碼，許多類型攻擊的駭客至今仍然在利用 Microsoft Word 這個最常被用來滲透的防禦漏洞。

這符合 Tropic Trooper 的手法、技巧、以及過程(TTP)，同時鎖定政府機構以及台灣的能源產業發動攻擊。

Tropic Trooper 威脅者團體過去至少六年以來一直鎖定亞太地區的政府與組織。除了使用 Yahoyah 惡意程式碼外，還確定他們有使用 Poison Ivy 以及 PCShare 族系的惡意程式碼。他們至今和許多駭客一樣還在利用 CVE 2012-0158 漏洞。