中華數位與ASRC垃圾訊息研究中心表示,在發生震驚台灣的復航墜機事件隔日,即收到利用此事件為幌子的APT攻擊郵件樣本。這個攻擊郵件其主旨為「復航致歉:未來繼續努力把飛安做好」,是透過某ISP郵件伺服器發出,其中帶有一個「復興航空墜機事件說明.doc」的惡意文件。
ASRC研究中心指出,這個惡意文件由於透過MHTML包裝,許多防毒軟體並沒有辦法偵測到它是一個惡意檔案,但若透過特殊的方法將它解開,可得一個真正的.doc攻擊文件,此時部份的防毒軟體便可發揮辨識的作用。
這個惡意攻擊利用的是CVE-2012-0158的弱點,並包裝Poison Ivy的Rootkit工具,做為持續攻擊的潛伏載具。一旦攻擊被觸發,則會在%APPDATA%\Microsoft\SystemCertificates放置一個SystemCertificates.ocx,並間歇性的外連某個IP的8080、137連接埠,回報已被觸發成功。
ASRC研究中心表示,這個攻擊非常新,且能躲避多數防毒機制,需特別留意此攻擊郵件,切勿任意開啟。中華數位SPAM SQR對此惡意郵件可以有效攔截。