情資卡編號:
TCCY-RCDC-400-202506-0000038
事件主旨:
近期網路釣魚攻擊活動說明與建議
內容說明:
近期觀察多起駭客精心策劃的網路釣魚攻擊活動,根據其攻擊行為,研判可能為中國駭客組織APT41所發起。建議針對使用者進行宣導,加強對網路釣魚攻擊的防範及警覺性。
※ 案例一
一、釣魚郵件標題與內容使用繁體中文,並使用員工關心的議題,例如「薪資調整」等。
二、附件提供一個副檔名為「.rar」之壓縮檔案,將此檔案解壓縮後,包含副檔名為「.pdf.lnk」、「.exe」、「.dll」、「.xml」、「.vbs」多個檔案。
三、pdf.lnk內含「新宋体」字型,為一簡體中文字型,表示攻擊者應為使用簡體中文人士。
四、pdf.lnk以「Windows\System32\wscript.exe」執行 「_MACOSX\Store.vbs」。
五、將「\_MACOSX\abHost.exe」、 「\_MACOSX\o.xml」、"\_MACOSX\Launcher.dll」3個檔案複製到「C:\Users\Public\Videos」 目錄。
六、執行「C:\Users\Public\Videos\abHost.exe」。
七、複製「\_MACOSX\2025年度薪資調整辦法公告.pdf」至當前目錄並開啟。
八、刪除「2025年度薪資調整辦法公告.pdf.lnk 」。
九、「C:\Users\Public\Videos\abHost.exe」連線時會載入「 Launcher.dll」與「o.xml」,且以 User-Agent為Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36 方式連線特定URL。
十、解析連線紀錄,相關中繼站行為都是透過google api完成。
※ 案例二
一、使用者收到一封來自主管機關的信件,內容包含下載後副檔名為「.7z」檔案的Google雲端硬碟連結。
二、「.7z」解壓縮後,發現內有三個檔案:一個正常的PDF檔案、兩個雜湊值不同,但Payload相同之副檔名為「.XLL」檔案。
三、「.XLL」檔案經分析後發現其功能包含如下:
(一) 將「dfsvc.exe」檔案複製到使用者啟動目錄,並且重新命名,該檔案為Microsoft .NET Framework 的一部分,負責支援微軟的應用程式的安裝與更新。
(二) 將「AppVStreamingUX.exe.config」、「oJzKcOuK.dll」寫入啟動目錄,其中「oJzKcOuK.dll」為真正的惡意程式。
(三) 將Excel寫到使用者暫存目錄下,該檔案也是最後畫面呈現的檔案(C:\Users\[username]\AppData\Local\Temp\特定檔名.xlsx)。
(四) 透過呼叫網頁版的curl,連線中繼站特定的頁面,進行後續惡意行為。
政府組態基準(GCB )中,應用程式文件有「Excel須封鎖來自不受信任來源的Excel XLL增益集」的設定,請參閱以下網址:https://download.nics.nat.gov.tw/api/v4/file-service/UploadFile/attachfilegcb/TWGCB-04-011_Microsoft Excel 2019政府組態基準說明文件v1.1_1131213.pdf