根據趨勢科技APT調查小組第一時間的攔截報告,發現國際性駭客組織透過微軟RTF程式漏洞,針對台灣經濟相關的政府部會及企業,進行首波大規模目標性零時差攻擊。駭客利用主旨為與服貿等熱門議題有關的社交信件,夾帶後門程式以操控受害電腦,目前已知影響近20家台灣相關政府單位與企業。趨勢科技呼籲用戶,應儘快更新微軟MS14-017重大弱點修補,並立即進行APT資安防護檢測。
趨勢科技技術總監戴燊表示:「趨勢科技於4月10日發現,有駭客使用國際駭客組織慣用的惡意程式,利用微軟的RTF程式漏洞,專門針對台灣用戶的電腦進行零時差攻擊。駭客利用被感染電腦做跳板,發送以熱門新聞議題(例如服貿)為主旨的社交電子郵件,給台灣經濟相關的各政府單位及組織,信件夾帶後門程式HEUR_RTFEXP.A及HEUR_RTFMALFORM,用戶一旦開啟即被植入,駭客將可取得受害電腦的操控權為所欲為,例如竊取資密資料等。」
微軟公司在3月24日公布此項RTF弱點,趨勢科技APT解決方案於當天即偵測並攔載到惡意程式樣本,成功協助台灣與全球客戶在第一時間防禦此波APT威脅。趨勢科技更進一步發現,為了規避資安防護產品的偵測,駭客組織透過一個日本的網站為攻擊中繼站,以增加偵測的難度,但趨勢科技網頁信譽評等服務(Web reputation service,WRS)早已將此網站封鎖。
趨勢科技透過APT解決方案、包含榮獲知名測試機構NSS Labs評比為「最高整體入侵偵測率」與「零誤判」的Deep Discovery,所攔截到的近百封社交信件中,發現其信件主旨、內容、附件名稱,都與最近熱門經濟議題高度相關。
有鑑於此波重大攻擊為慎密的國際性駭客組織行為,並結合台灣熱門經貿議題降低用戶警覺心,恐有繼續延燒之可能,亦將嚴重影響台灣經濟體系,趨勢科技呼籲政府組織及企業,應盡速修補微軟MS14-017弱點,並透過趨勢科技APT解決方案加強防護。