中國駭客開發新Windows後門程式，攻擊東南亞國家政府

2021 / 06 / 21

編輯部

資安業者Checkpoint指出，中國駭客組織開發新Windows後門程式，針對東南亞某國政府單位長期監聽，竊取機敏資訊時間長達3年以上。

此波攻擊行動鎖定東南亞某國外交部員工發送魚叉式釣魚郵件，透過偽冒該國政府其他單位，寄送以RoyalRoad工具產製之惡意RTF格式文件，利用Microsoft Word之方程式編輯器(Equation Editor)漏洞，如CVE-2017-11882、CVE-2018-0798及CVE-2018-0802等漏洞，自攻擊者控制之伺服器中，下載新後門程式VictoryDll_x86.dll，其功能包括取得檔案完整存取權限及系統運作中程序與服務之資訊，進行螢幕擷取，以及竊取用戶資料等。

資安業者Checkpoint推測此波攻擊行動來自中國，係因中國駭客經常使用RoyalRoad工具產製惡意RTF格式文件，且於後門程式測試版本中發現其與百度網站進行連通性測試。此外，駭客所使用之命令暨控制(Command and Control, C&C)伺服器僅於北京時間9時至16時運作，於5月1日至5日停止作業，該期間為中國勞動節長假，因此推測此事件為中國駭客組織發起之攻擊行動。

本文轉載自NCCST。

中國 Windows後門惡意RTF格式文件 WORD CVE-2017-11882 CVE-2018-0798 CVE-2018-0802