网络钓鱼是网络犯罪份子四处掀起诈骗攻击的最佳利器,也是国家赞助 APT(进阶持续威胁)骇客组织用来发动目标式攻击的常见手法之一。骇客发动网络钓鱼攻击的管道及手法十分多元,例如钓鱼邮件、钓鱼简讯、社群媒体钓鱼等,但最近在许多国家赞助级网络钓鱼活动中,开始出现大量采用全新 RTF(富文字格式)范本植入手法的现象,这也成为当前安全人员最密切关注的安全新趋势之一。
最近 APT 目标式攻击界出现一个不太寻常的现象,亦即三个分别由中国、印度及俄罗斯赞助的不同 APT 骇客组织,竟然不约而同在各自网络钓鱼攻击活动中,都采用了名为 RTF 范本植入(RTF Template Injection)的全新攻击手法,以便将恶意软件投递到目标系统上。
姑且不论这是骇客私下相互讨论过的共识,还是英雄所见略同的巧合,但根据云端安全服务商 Proofpoint 研究人员指出,RTF 范本植入手法会受到 APT 骇客组织的青睐是有道理的。由于该技术不但简单,而且让威胁发动者使用 RTF 档就能从远端 URL 检索恶意内容,所以成为当前网络钓鱼恶意附件的最佳选择。
RTF 档已成为国家级 APT 及网络钓鱼攻击的新核心
进一步而言,内含诱饵内容的 RTF 档已然成为这类国家级网络钓鱼攻击的核心,攻击者可以藉以进行内容检索等各种操控,包括在打开 RTF 档时检索外部 URL 上的恶意负载封包。特别的是,透过指定可从中检索远端负载封包的 URL 资源(而不是可存取档案资源的目的地),攻击者便可运用 RTF 范本功能,使用十六进制编辑器来改变文件格式化属性。
也因为如此,攻击者可以向目标受害者发送表面上看起来完全无害的恶意 Word 文件,但骨子里却会偷偷地透过范本功能从远端载入恶意程式码。综合以上所述,一旦受害者透过微软 Word 开启已遭恶意变更的 RTF 档时,该应用程序就会在显示该档案引诱内容之前,从指定的 URL 处下载资源。这也是何以该技术已大规模武装成为国家级骇客组织发动 APT 攻击与网络钓鱼活动利器的原因。
早在 2021 年 2 月,Proofpoint 便观察到许多运用 RTF 范本植入的国家级 APT 攻击活动。其中,印度国家级 APT 组织 DoNot 基于国家利益对巴基斯坦与斯里兰卡境内实体发动网络攻击。中国 TA423 骇客组织运用同样技术对马拉西亚深水能源探勘公司发动 APT 攻击。乌克兰执法机构揭露隶属于俄罗斯联邦安全局(Federal Security Service,FSB)的 Gamaredon APT 组织,基于地理政治利益,透过类似攻击手法从遭入侵的 Windows 系统中获得机密资讯,以打击乌克兰公私部门。
随着国家级骇客组织对 RTF 范本植入技术的广泛运用,势必会进一步扩大全球组织的被攻击面。虽然该技术仍仅限少数国家级骇客组织使用,但由于该技术的易用性,所以任何攻击者群起效尤的可能性很大,该技术也因此成为今后组织企业与安全从业人员的关注焦点。
- Hackers Increasingly Using RTF Template Injection Technique in Phishing Attacks
(首图来源:Malwarebytes)
