Lotus Blossom 行動駒使 Emissary 木馬程式進化?
針 對 香 港 及 台 灣 之 惡 意 攻 擊 持 續 更 新 阻 被 偵 測
在2015年12月,Palo Alto Networks 威脅情報團隊 Unit 42 發佈了有關網絡間諜使用 Emissary 木馬程式作為有效的網絡間諜入侵活動的網誌。Emissary與Elise木馬程式及Lotus Blossom行動的攻擊活動有所關連,促使我們開始收集Emissary的額外樣本。
我們發現最早期的Emissary樣本建於2009年,意味著這入侵工具已被使用了近七年。值得關注的是,這比我們發現最早期的Elise木馬程式還要早三年,亦表示該集團比所記錄的活躍得更久。此外Emissary攻擊的對象似乎只針對台灣或香港的目標,所有的誘餌都以繁體中文編寫,使用的題材都與政府或軍事事件相關。
我們更發現Emissary有幾個不同的版本,顯示木馬程式這幾年來的進化。我們在分析過程中觀察到一個有趣的現象,在我們於2015年6月發怖Lotus Blossom報告後,致力於Emissary的開發和投入有顯著的增加,許多新版本的Emissary木馬程式因此產生。
相對使用地區性語言攻擊多個東南亞國家的Elise,我們收集的所有Emissary誘餌都是以繁體中文編寫,正是台灣和香港使用的文字。而我們所辨認到的攻擊對亦來自該兩個地區。儘管Emissary針對的目標在有限的地理範圍內,它以那些不在網上流傳的文件及一些抄襲的新聞文章來針對政府部門、高等教育機構和高科技公司。
更多攻擊細節,請參閱網誌全文:
http://researchcenter.paloaltonetworks.com/2016/02/emissary-trojan-changelog-did-operation-lotus-blossom-cause-it-to-evolve/#more-12032
作者: Palo Alto Networks 威脅情報團隊 Unit 42 分析員 Robert Falcone and Jen Miller-Osborn
