【Trend Micro 報告】威脅組織Tropic Trooper 專門入侵交通組織及政府機構
Trend Micro 報告指,2020 年中起,一個名為 Tropic Trooper 的威脅組織,持續針對與交通運輸部門相關的組織和政府體系行動。這個高級長期威脅 (Advanced Persistent Threat, APT) 也被稱為 Earth Centaur 和 KeyBoy,由 2011 年起一直存在,主要針對香港、菲律賓和台灣的政府、醫療保健、高科技和交通部門的組織,作間諜活動。Trend Micro 指出,由於在 ChiserClient 發現用注音鍵盤輸入法的編碼,相信該組織成員來自說中文的地區。
在過去一年半的一部分攻擊中,Trend Micro 警告指,該組織試圖存取目標組織的航班時刻表、財務計劃和其他內部文件,以及在受感染主機中的任何可用個人資料,包括搜索歷史。Trend Micro 對該組的監察發現其 red team 合作熟練,因為對手可以輕易地繞過安全設置,防止其活動成為障礙,並採用反向代理以繞過網絡安全系統。Trend Micro 研究人員還觀察到 APT 使用開源框架,使其能輕鬆提出新的後門變種,並可能會對其他行業的攻擊採用相同策略。
Tropic Trooper 使用多階段感染過程,其中利用 Internet Information Services (IIS) 和 Microsoft Exchange 漏洞(包括 ProxyLogon)進行入侵。之後攻擊者會安裝 web shells,並部署 Nerapack .NET 加載程式和 Quasar RAT 作為第一階段的惡意軟件。然後再根據受害者再部署不同類型的第二階段後門,包括 ChiserClient 和 SmileSvr,攻擊者開始運用 Active Directory (AD) ,利用伺服器訊息區塊 (Server Message Block, SMB) 在網絡中傳播,並嘗試獲取登錄憑證。
Trend Micro 指,該威脅集團開發了多個能夠通過普通網絡協議進行通訊的後門,並認為這反映他們有能力通過使用這些通用協議來傳輸數據,從而繞過網絡安全系統,另還發現,該組織試圖為每個受害者啟動各種後門。
根據從命令和控制(C&C)服務器收到的命令,所採用的後門可以下載文件、寫或讀文件、打開 command shells 以執行命令、上傳文件、列出目錄和文件等等,並根據受害者的情況,使用支持不同協議的後門。Trend Micro 形容,這些威脅行為者明顯複雜並具備精良技術。Trend Micro 更指透過深入研究該組織使用的新方法,他們發現該組織有一個工具庫,能夠在評估後再破壞其目標,並保持不被人發現。
資料來源:https://bit.ly/3ssqoau、https://bit.ly/3yJox2v