"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fa8bcddd3f83d412ba935edc6f4e6b665\" img_width=\"915\" img_height=\"480\" alt=\"美安全公司稱中國黑客組織在行動，專盯東亞政府信息技術部門下手\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E總部位於美國加州桑尼維爾的網絡安全公司Proofpoint在上週發表的一篇文章中指出，該公司的安全研究人員已經確定了一起有針對性的APT（Advanced Persistent Threat，高級持續性威脅）活動。\u003C\u002Fp\u003E\u003Cp\u003E在這起活動中，攻擊者利用惡意RTF文檔向“沒有一點點防備”的受害者發送了自定義的惡意軟件。基於感染目標以及命令和控制（C&C）基礎設施域名的獨特性，Proofpoint的安全研究人員將這一活動命名爲“Lagtime IT行動”。\u003C\u002Fp\u003E\u003Cp\u003E研究人員表示，自今年年初以來，“Lagtime IT行動”主要針對了東亞國家的一些主要負責跟進政府信息技術、國內事務、外交事務、經濟發展和政治進程的政府部門。\u003C\u002Fp\u003E\u003Cp\u003E感染媒介以魚叉式網絡釣魚電子郵件爲主，惡意附件包含了能夠利用Microsoft公式編輯器漏洞CVE-2018-0798的腳本，旨在傳播一種名爲“Cotx RAT”的自定義惡意軟件以及另一種名爲“Poison Ivy”的惡意軟件。\u003C\u002Fp\u003E\u003Cp\u003E基於對C&C基礎設施、後期開發技術以及TTP（戰術、技術、程序）的分析，Proofpoint的研究人員將“Lagtime IT行動”歸因於被他們追蹤爲“TA428”的中國黑客組織——一個在2013年就曾被Proofpoint公開披露過的黑客組織。\u003C\u002Fp\u003E\u003Ch1\u003E“Lagtime IT行動”簡介\u003C\u002Fh1\u003E\u003Cp\u003EProofpoint的研究人員表示，他們最初是在今年3月份發現了針對東亞政府機構的魚叉式網絡釣魚電子郵件活動。大量的釣魚電子郵件主要來自yahoo[.]co[.].jp和yahoo[.]com免費電子郵箱，雖然附件是.doc文檔，但它們實際上是重命名後的RTF文件。\u003C\u002Fp\u003E\u003Cp\u003E大多數電子郵件使用的主題、附件名稱和附件內容均與信息技術有關。例如，其中一些電子郵件就使用了類似於“ITU Asia-Pacific Online CoE Training Course on ‘Conformity & Interoperability in 5G’ for the Asia-Pacific Region, 15-26 April 2019”（大致翻譯爲：2019年4月15日至26日，ITU亞太地區“5G一致性與互操作性”在線COE培訓班）這樣的主題以及“190315_annex 1 online_course_agenda_coei_c&i.doc”這樣的附件名稱。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fc4f284accf244ece929612acb740a36c\" img_width=\"974\" img_height=\"672\" alt=\"美安全公司稱中國黑客組織在行動，專盯東亞政府信息技術部門下手\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E惡意RTF附件分析\u003C\u002Fh1\u003E\u003Cp\u003E如上所述，惡意RTF附件包含了能夠利用Microsoft公式編輯器漏洞CVE-2018-0798的腳本，該腳本能夠將PE文件釋放到Windows臨時目錄中，文件名爲“8.t”。8.t執行時會將擴展名爲“.wll”的Word加載項文件寫入Windows啓動目錄，該目錄將在下一次打開Word時運行。\u003C\u002Fp\u003E\u003Cp\u003E.wll文件執行後，會將自身重命名爲“RasTls.dll”。同時，它會解密一個合法的Symantec PE二進制文件，通常名爲“intelgraphicscontroller.exe”或“acrod32.exe”。這個合法的Symantec二進制文件的作用是使用DLL搜索順序劫持來側向加載RasTls.dll，進而導致COTX RAT惡意軟件的執行。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F707a5b5f126f45e98a0e6e732a0db58a\" img_width=\"768\" img_height=\"219\" alt=\"美安全公司稱中國黑客組織在行動，專盯東亞政府信息技術部門下手\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E惡意軟件：Cotx RAT\u003C\u002Fh1\u003E\u003Cp\u003E簡單來說，COTX RAT惡意軟件的代碼就包含在RasTls.dll文件中。它是採用C++編寫的，通過將自身存儲在顯卡驅動文件夾（具體可能是“AppData”文件夾，也可能是“PROGRAMFILES”文件夾）中來逃避殺毒軟件的檢測。\u003C\u002Fp\u003E\u003Cp\u003ECOTX RAT能夠利用wolfSSL進行TLS加密通信，初始信標包含了以“|”分隔的系統信息（包含在信標中的數據採用的是Zlib格式，在CBC模式下使用了AES-192算法進行壓縮和加密），具體如下：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E來自“software\\\\intel\\\\java”子項的“id”值\u003C\u002Fli\u003E\u003Cli\u003E計算機名稱\u003C\u002Fli\u003E\u003Cli\u003E用戶名\u003C\u002Fli\u003E\u003Cli\u003EWindows版本\u003C\u002Fli\u003E\u003Cli\u003E體系結構\u003C\u002Fli\u003E\u003Cli\u003E惡意軟件版本（如“0.9.7”，採用的是硬編碼）\u003C\u002Fli\u003E\u003Cli\u003E本地IP地址\u003C\u002Fli\u003E\u003Cli\u003E第一個適配器的MAC地址\u003C\u002Fli\u003E\u003Cli\u003E連接類型（https或_proxy）\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003E來自C＆C的命令也通過惡意軟件信標來接收的，數據經過AES加密，具體包括如下命令：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E0 - 保持運行狀態，設置一個“poll again”flag，並向C＆C發送一個空響應\u003C\u002Fli\u003E\u003Cli\u003E1 - 在“software\\\\intel\\\\java”子項中設置“id”值，並向C＆C發送一個空響應\u003C\u002Fli\u003E\u003Cli\u003E2 - 獲取文件夾信息或驅動器信息\u003C\u002Fli\u003E\u003Cli\u003E5 - 打開命令shell\u003C\u002Fli\u003E\u003Cli\u003E6 - 以登錄用戶身份打開命令shell\u003C\u002Fli\u003E\u003Cli\u003E7 - 向命令shell發送命令\u003C\u002Fli\u003E\u003Cli\u003E8 - 複製文件\u003C\u002Fli\u003E\u003Cli\u003E9 - 刪除文件\u003C\u002Fli\u003E\u003Cli\u003E10 - 讀文件\u003C\u002Fli\u003E\u003Cli\u003E11 - 檢查文件名。如果不存在，檢查擴展名爲“.ut”的文件是否存在，如果存在，將文件大小發送回C＆C\u003C\u002Fli\u003E\u003Cli\u003E12 - 寫文件\u003C\u002Fli\u003E\u003Cli\u003E13 - 截圖\u003C\u002Fli\u003E\u003Cli\u003E14 - 進程列表\u003C\u002Fli\u003E\u003Cli\u003E15 - 殺死進程\u003C\u002Fli\u003E\u003Cli\u003E16 - 將當前配置發送到C＆C\u003C\u002Fli\u003E\u003Cli\u003E17 - 更新註冊表中的配置和“.cotx”PE部分\u003C\u002Fli\u003E\u003Cli\u003E18 - 設置睡眠時間\u003C\u002Fli\u003E\u003Cli\u003E19 - 關閉C＆C通信\u003C\u002Fli\u003E\u003Cli\u003E20 - 卸載並刪除自身\u003C\u002Fli\u003E\u003Cli\u003E21 - 獲取已安裝軟件的列表\u003C\u002Fli\u003E\u003Cli\u003E22 - 殺死命令shell\u003C\u002Fli\u003E\u003Cli\u003E23 - 退出惡意軟件\u003C\u002Fli\u003E\u003Cli\u003E24 - 向命令shell發送“Ctrl-C”，並退出\u003C\u002Fli\u003E\u003Cli\u003E25 - 執行可執行文件\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Ch1\u003E惡意軟件：Poison Ivy\u003C\u002Fh1\u003E\u003Cp\u003E在“Lagtime IT行動”中，TA428還使用了Poison Ivy惡意軟件，但與之對應的釣魚電子郵件數量很少。當惡意RTF附件被執行且公式編輯器漏洞被成功利用時，大多數Poison Ivy有效載荷都被釋放爲名爲“OSE.exe”的PE文件，並嘗試與IP 地址95.179.131[.]29建立通信。\u003C\u002Fp\u003E\u003Cp\u003E具體而言，如果攻擊者沒能夠成功讓目標感染上Cotx RAT惡意軟件，那麼他們接下來就會向其發送帶有Poison Ivy的電子郵件。\u003C\u002Fp\u003E\u003Ch1\u003E結論\u003C\u002Fh1\u003E\u003Cp\u003EProofpoint的安全研究人員認爲，躲在“Lagtime IT行動”背後的攻擊者極有可能是一個來自中國的黑客組織。這是因爲，“Lagtime IT行動”有很大可能就是一起網絡間諜活動，主要就是爲了獲取有關這些國家的情報，而這些國家正是中國的鄰國。\u003C\u002Fp\u003E\u003Cp\u003EProofpoint的安全研究人員的表示，雖然尚不能很肯定攻擊者的最終動機到底是什麼，但可以肯定的是，TA428在接下來行動仍然會將目標鎖定在負責管理和維護東亞國家政府系統的用戶身上。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6718963250056135181