根據TWCERT/CC官網,趨勢科技近日發布重要資安警報,揭露APT組織Earth Kasha,該組織歸屬於APT10子群於今年3月針對台灣與日本政府機關及公營機構發起大規模網路攻擊。此次攻擊行動主要目的為竊取機敏資料並進行間諜活動,攻擊手法展現該組織技術能力的顯著提升。
新型攻擊手法「ROAMINGMOUSE」現身
攻擊者採用多層次社交工程手法,利用已遭入侵的帳號向特定目標發送釣魚郵件,郵件內含OneDrive雲端連結,誘導受害者下載包含惡意Excel文件的壓縮檔。這些文件以極具吸引力的名稱包裝,包括《修正済み履歴書》、《臺日道路交通合作與調研相關公務出國報告》、《應徵研究助理》等,成功誘使目標用戶點擊並啟用巨集功能。
趨勢科技將此次發現的新攻擊技術命名為「ROAMINGMOUSE」。與2024年透過Word文件並利用滑鼠移動觸發攻擊的手法不同,
ROAMINGMOUSE改以Excel文件為載體,需要使用者主動點擊滑鼠才能啟動後續惡意程序,展現攻擊者對規避偵測技術的精進。
技術層面突破:多重繞過機制
攻擊流程採用複雜的多階段載入機制。ROAMINGMOUSE透過Windows管理工具(WMI)將合法執行檔以參數形式注入explorer.exe程序,成功繞過傳統防毒軟體與行為監控系統。隨後利用DLL劫持技術載入惡意DLL載入器(ANELLDR),最終植入並啟用ANEL後門程式。
此次攻擊使用的主要惡意檔案架構包括:
- 正常可執行檔作為啟動器(JSLNTOOL.exe、JSTIEE.exe、JSVWMNG.exe)
- 惡意DLL載入器JSFC.dll(代號ANELLDR)
- 隨機命名的加密ANEL後門程式
- 合法支援DLL載入器MSVCR100.dll
最值得關注的技術突破在於ANEL後門程式的最新版本開始支援DNS over HTTPS(DoH)技術。DoH將DNS查詢封裝在HTTPS通訊中,能夠繞過傳統DNS偵測機制,使惡意中繼站通訊更難被攔截與追蹤,大幅提升後門程式的隱匿能力。
此外,攻擊者開始對ANEL的版本號進行加密處理,試圖掩蓋惡意程式的演化軌跡。在某些攻擊案例中,ANEL會進一步下載並安裝另一個後門程式NOOPDOOR,形成多重持續性威脅。
防禦建議與威脅指標
趨勢科技針對此次攻擊提出三大防禦建議:
- 提高警覺性:對來路不明且含有雲端連結或附件的電子郵件保持高度警戒
- 停用巨集功能:建議企業停用網路下載文件中的Microsoft Office巨集自動執行功能
- 加強DNS監控:資安團隊應持續監控DNS活動,特別關注透過HTTPS的異常DNS請求
相關威脅指標(IoC):
- 惡意域名:srmbr[.]net、kyolpon[.]com
- 可疑IP位址:172[.]233[.]73[.]249、172[.]105[.]62[.]188、192[.]46[.]215[.]56、139[.]162[.]38[.]102
這起攻擊事件凸顯APT組織持續精進攻擊技術的趨勢,特別是在社交工程與技術繞過手法的結合運用上。政府機關與企業組織應加強員工資安意識訓練,同時部署多層次防禦機制,以因應日益複雜的進階持續性威脅。