光碟映像档又被滥用于附件！研究人员揭露锁定能源产业的钓鱼邮件攻击

发动钓鱼邮件的攻击者为了规避邮件系统初步侦测，最近几年开始会采用一些电子邮件附件较为罕见的档案格式，来夹带作案工具，例如，6月底有资安研究人员发现，有攻击者使用了Windows映像档格式WIM（Windows Image Format）的档案，作为钓鱼邮件的附件，目的是为了散布恶意软件Agent Tesla。而恶意程式码免疫系统供应商Intezer，他们在7月7日公布了一起针对能源产业的钓鱼邮件攻击事故，并认为骇客攻击行动时间至少为期一年，而且攻击者发送的邮件里，都会包含IMG、ISO，或是CAB档案格式的附件。

关于这起攻击行动遭到锁定的目标，Intezer指出主要是针对能源、石油、天然气，以及电子业的大型国际公司。不仅如此，骇客还针对了石油与天然气的供应商下手，因此，Intezer研判，这波攻击很可能是整起行动的第一阶段。一旦攻击者成功入侵供应商，他们可以运用可掌控的电子邮件账号，来向受害公司的合作伙伴发送钓鱼邮件，让这些合作厂商更难察觉异状。

而从攻击的范围来看，骇客攻击了世界各地的公司，包括美国、德国，以及阿拉伯联合酋长国（UAE）等。不过，Intezer认为，攻击者的主要目标是韩国公司。

再者，钓鱼邮件的内容与公司业务往来相关，像是报价请求（RFQ）、合约，以及投标文件等。研究人员强调钓鱼邮件的内容几可乱真，看起来像是两家公司之间的往来信件，而使得受害者难以发现有异──攻击者使用了公司的真实地址、商标，以及电子邮件信箱，甚至会提及高阶主管，而且，上述邮件的内容，也与遭锁定的公司实际业务相关。

研究人员举出其中一封钓鱼邮件内容为例，攻击者假冒现代工程公司（Hyundai Engineering Co，HEC）的名义，谎称要参与巴拿马联合循环发电厂（Combined Cycle Power Plant）的设备投标，要求对方若要参与设备的投标，就要在截止日期前提交标案资料，并宣称标案的细节和需求，随附于附件档案之中。但实际上，附件包含了恶意软件，一旦收信人信以为真开启附件档案，电脑就可能会被植入恶意软件。

为了让受害人降低戒心，攻击者还运用了误植域名（Typosquatted）的手法，这些寄信者的网域疑似已被事先注册，目的是让收件者认为电子邮件来自受信任的实体，一旦收件者稍不留意，很有可能认为电子邮件是从合法公司发出。Intezer指出，许多被盗用的网域名称，模仿韩国公司的合法名称“company.co.kr”，攻击者注册了没有.co二级网址的网域名称，而是“company-co.kr”。以上述假冒现代工程公司的例子而言，攻击者注册了hec-co.kr来用于攻击行动。

一旦收信人不慎开启这些光碟映像档（ISO、IMG）或是压缩档案格式（CAB）的附件，就有可能中招。这些附件内含可执行档（EXE）格式的恶意程式，但攻击者为了欺骗收信人，将其图示替换为PDF档案的样子。Intezer指出，这些附件里夹带的恶意程式，他们看到了Formbook、Agent Tesla、Loki、Snake Keylogger，以及AZORult等RAT木马程式，而这些恶意程式的共通功能，就是能窃取受害电脑里的机密，包含了个资和银行资料，以及上网浏览记录等，并且可侧录键盘输入的内容。

研究人员指出，由于在Windows 10操作系统里，使用者只要点选上述格式的光碟映像档案，或者是CAB档案，电脑就会自动挂载或是打开其中内容，只需要少许受害者操作，就会触发恶意软件，再加上有些电子邮件防护系统不会检查这类格式的附件，而让这种邮件能成功寄送给特定目标人士。该公司亦呼吁企业和用户要加以留意防范。