台灣電腦網路危機處理暨協調中心-TWCERT/CC

美國網戰司令部日前發表資安通報，指出該單位觀察到近來有俄羅斯駭侵團體，利用惡意軟體植入手法，攻擊外交、國會與使館所屬機構的電腦系統。

美國網戰司令部日前發表資安通報，指出該單位觀察到近來有一個名為 Turla 的俄羅斯 APT 駭侵團體，近來利用兩支惡意軟體，針對外交、國會與使館所屬機構的電腦系統發動植入攻擊。

資安媒體 BleepingComputer 指出，Turla 從 1996 年就開始活躍，過往曾有攻擊美軍總司令部、美國國防部與太空總署的記錄。

這兩支惡意軟體都是屬於後門攻擊型惡意軟體，其中一支名為 ComRAT。根據美國資安與基礎設施安全局的分析報告指出，ComRAT 會安裝一個 Windows  PowerShell 指令檔，並載入一個含有惡意程式碼的 64 位元 DLL 檔，該檔即為 ComRAT 第四版。

ComRAT 接著會將一個通訊模組注入 Windows 系統預設的瀏覽器，並開始監聽並竊取受害電腦上的機敏資訊，並接受駭侵者的控制，以執行各種攻擊活動。

另一支在通報中提及的惡意軟體，稱為 Zebrocy，是兩段由 Golang 撰寫的 Windows 32 位元可執行檔；遭植入系統後，可供駭侵者遠端遙控，進行各種資料竊取或其他攻擊任務。

CISA 針對 ComRAT 與 Zebrocy 提供了完整的程式碼分析報告，並建議可能受攻擊的機構，務必使用最新版本的防毒防駭軟體、保持作業系統更新至最新版本、關閉檔案與印表機共享服務，或以密碼和其他措施加以保護，加強系統整體防護能力。

• 參考連結：
  • https://us-cert.cisa.gov/ncas/current-activity/2020/10/29/cisa-fbi-and-cnmf-identify-new-malware-variant-comrat
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-303a
  • https://us-cert.cisa.gov/ncas/analysis-reports/ar20-303b
  • https://www.bleepingcomputer.com/news/security/us-shares-info-on-russian-malware-used-to-target-parliaments-embassies/

• 更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news