網路釣魚是網路犯罪份子四處掀起詐騙攻擊的最佳利器,也是國家贊助 APT(進階持續威脅)駭客組織用來發動目標式攻擊的常見手法之一。駭客發動網路釣魚攻擊的管道及手法十分多元,例如釣魚郵件、釣魚簡訊、社群媒體釣魚等,但最近在許多國家贊助級網路釣魚活動中,開始出現大量採用全新 RTF(富文字格式)範本植入手法的現象,這也成為當前安全人員最密切關注的安全新趨勢之一。
最近 APT 目標式攻擊界出現一個不太尋常的現象,亦即三個分別由中國、印度及俄羅斯贊助的不同 APT 駭客組織,竟然不約而同在各自網路釣魚攻擊活動中,都採用了名為 RTF 範本植入(RTF Template Injection)的全新攻擊手法,以便將惡意軟體投遞到目標系統上。
姑且不論這是駭客私下相互討論過的共識,還是英雄所見略同的巧合,但根據雲端安全服務商 Proofpoint 研究人員指出,RTF 範本植入手法會受到 APT 駭客組織的青睞是有道理的。由於該技術不但簡單,而且讓威脅發動者使用 RTF 檔就能從遠端 URL 檢索惡意內容,所以成為當前網路釣魚惡意附件的最佳選擇。
RTF 檔已成為國家級 APT 及網路釣魚攻擊的新核心
進一步而言,內含誘餌內容的 RTF 檔已然成為這類國家級網路釣魚攻擊的核心,攻擊者可以藉以進行內容檢索等各種操控,包括在打開 RTF 檔時檢索外部 URL 上的惡意負載封包。特別的是,透過指定可從中檢索遠端負載封包的 URL 資源(而不是可存取檔案資源的目的地),攻擊者便可運用 RTF 範本功能,使用十六進位編輯器來改變文件格式化屬性。
也因為如此,攻擊者可以向目標受害者發送表面上看起來完全無害的惡意 Word 文件,但骨子裡卻會偷偷地透過範本功能從遠端載入惡意程式碼。綜合以上所述,一旦受害者透過微軟 Word 開啟已遭惡意變更的 RTF 檔時,該應用程式就會在顯示該檔案引誘內容之前,從指定的 URL 處下載資源。這也是何以該技術已大規模武裝成為國家級駭客組織發動 APT 攻擊與網路釣魚活動利器的原因。
早在 2021 年 2 月,Proofpoint 便觀察到許多運用 RTF 範本植入的國家級 APT 攻擊活動。其中,印度國家級 APT 組織 DoNot 基於國家利益對巴基斯坦與斯里蘭卡境內實體發動網路攻擊。中國 TA423 駭客組織運用同樣技術對馬拉西亞深水能源探勘公司發動 APT 攻擊。烏克蘭執法機構揭露隸屬於俄羅斯聯邦安全局(Federal Security Service,FSB)的 Gamaredon APT 組織,基於地理政治利益,透過類似攻擊手法從遭入侵的 Windows 系統中獲得機密資訊,以打擊烏克蘭公私部門。
隨著國家級駭客組織對 RTF 範本植入技術的廣泛運用,勢必會進一步擴大全球組織的被攻擊面。雖然該技術仍僅限少數國家級駭客組織使用,但由於該技術的易用性,所以任何攻擊者群起效尤的可能性很大,該技術也因此成為今後組織企業與安全從業人員的關注焦點。
(首圖來源:Malwarebytes)
