中国骇客开发Windows后门程式，攻击东南亚国家-

安全厂商Checkpoint指出，一个中国骇客组织开发了一个前所未见的Windows后门程式，以远端搜集用户电脑资讯，至少有一个东南亚-用户受害。

Checkpoint研判这波攻击是由一名为SharpPanda的中国APT骇客组织发动，他们至少活动了三年而未被侦测到。

研究人员指出，这波攻击主要是以向某一东南亚国家-的员工，发送鱼叉式钓鱼信件（spear phishing）。其中一些邮件则伪造成其他-部门信件，这些信件旨在挟带貌似合法文件的恶意档案，作为攻击用户电脑的第一步。

图片来源_Checkpoint

一旦用户开启信件附档，档案会从不同外部网站载入植有RoyalRoad工具的RTF档案，这个工具允许攻击者产生具有恶意物件的文件，这些物件能开采受害电脑上OfficeWord程式的方程式编辑器（Equation Editor）漏洞，以启动接下来多阶段的感染链。

研究人员指出，这些漏洞已经是老漏洞了，但在中国及其他骇客组织间仍相当流行。

在多阶段感染链下载的恶意程式都具有反沙箱、反分析及除错能力，以回避被防护软件侦测，并具备情搜能力。最后一步则是下载后门程式victoryDLL。根据分析，这个后门程式具有删改、读取和写入档案及属性、窃取行程和服务资讯、撷取屏幕撷图、新增／终止行程或关闭PC，并能搜集各种资讯，包括TCP/UDP表、机码、磁盘资料以及受害电脑资讯包括主机名称、Windows版本、用户名称、或网卡MAC位址、闸道IP等等。该后门程式最后还能和代管在香港及马来西亚的C&C服务器连线，以外传资料或接收指令。

研究人员推断本次攻击来自中国。原因除了RoyalRoad RTF是中国骇客常用的攻击工具，以及后门程式带有百度签章等技术因素外，研究人员也发现C&C服务器只在01:00-8:00 UTC（北京时间9:00到16:00）运作，显然反映骇客所在地的工作时间，此外，这些服务器也在5月1日到5日，即中国劳动节长假期间停止作业。