潛伏 5 年時間！網路間諜活動瞄準亞太企業與政府機構

作者：Kaoru Hayashi

在 2016 年 6 月，Unit 42 在部落格發表專文《追蹤在日本的 Elirks 變種：與先前攻擊的相似之處》文中提及日本與台灣 Elirks 惡意程式家族發動攻擊的相似之處。自此之後，我們透過 Palo Alto Networks 的 AutoFocus 持續追蹤這項威脅，並發現這類攻擊的更多細節，包括目標資訊在內。

我們看過這種攻擊的許多樣本，並將它們命名為 MILE TEA (MIcrass Logedrut Elirks TEA 的英文簡寫)，這類最早在 2011 年初出現的攻擊，其鎖定目標的範圍一直持續擴展。除了涉及多個惡意程式家族外，這種攻擊還經常用偽冒成電子機票的附檔來蒙騙受害人。目前發現遭受攻擊的目標包括三家日本貿易公司、一家日本石油公司，一家日本的行動電話營運商、一家日本公營機構的北京辦事處以及台灣一個政府機關。

在最初 3 年，大多數接獲通報的攻擊都是從台灣發起。另外還在其他亞洲國家發現幾件感染事件，但數量非常少。在 2013 年中，攻擊發起基地開始轉到日本。從 2015 年開始，大多數接獲通報的攻擊都是來自日本。主要的傳播媒介是一封魚叉式網路釣魚電郵，其附檔內含惡意程式。我們從這類攻擊收集到許多種類的感染檔案(包括 RTF、XLS、PDF 等格式)，然而大多數附檔的真正形態都是可執行檔，也就是一個安裝程式。

我們在 2015 年 3 月發現一份被寄送到台灣政府機構的魚叉式網路釣魚電郵。寄信者偽冒成一家航空公司，RAR 壓縮格式的附檔裡面內含一個名為 Ticket.exe 的安裝程式，執行該檔後會解出 Ticket.doc 文件檔以及 Micrass 惡意程式。

這種攻擊最引人關切的部分，就是從 2015 年初起，攻擊者開始運用從被入侵組織偷來的文件，以此媒介發動進一步的攻擊。這些文件原本並沒有對外公開流傳，內容看起來也不像是由攻擊者自行編撰，再加上因為它們內含涉及特定行業的機敏資料，因此不太可能是由第三方偽造。

MILE TEA 是已經有 5 年活動史的鎖定目標式攻擊，對象瞄準亞太與日本地區的企業與政府機構。幕後的攻擊者一直維護與使用多個系列的惡意程式，內含自行撰寫的安裝程式。攻擊者瞄準的主要為經營版圖橫跨多國的企業，從日常用品的貿易商一直涵蓋到航線遍及全球的航空公司。另一種可能目標是日本的石油公司，他們經常在海外設立多處辦公室與子公司。另外包括日本的公家機關以及台灣的政府機構也是被鎖定的目標。