趋势发现新一波锁定政府单位的目标攻击，手法精致难察觉

趋势科技侦测到新一波目标攻击锁定政府单位，利用鱼叉式网络钓鱼邮件，以 RTLO 技术将有毒的屏幕保护程式伪装成 Office文件，诱使收件者点阅开启，于电脑中植入木马程式追踨、窃取资料。

趋势指出，这波锁定政府的攻击行动名为 PLEAD，搭配RTLO技术将档案伪造成更难辨认真假的文件档，诱使收件者点选邮件的附档，趁机植入恶意程式，窃取电脑系统及内部储存资料。RTLO 技巧运用了从右至左书写的 Unicode 指令字元，这些字元是为了支援世界上从右至左书写的语言，让使用不同语言的电脑也能正确交换资讯。透过 RTLO 技巧，歹徒可将恶意档案伪装成看似无害的文件。

在此之前，趋势在今年3月曾揭露锁定近20个经济相关的政府单位的APT攻击，当时骇客装冒为亲友，以热门议题、时事为标题，向收件人寄出恶意邮件，诱骗收件人开启邮件植入恶意程式。

趋势科技资深技术顾问戴燊表示，这次发现锁定政府的攻击手法与前此不同，采用鱼叉式网络钓鱼邮件，锁定明确的攻击目标，并运用RTLO技术巧妙地隐藏附档中有毒的屏幕保护程式（.SCR档），将屏幕保护程式伪装为PPT档。收件者往往因为较长的档名，加上PPT简报档而不易查觉有异，虽然点开附档后也会真的开启一个PPT简报档，但实际上会在电脑内安装后门程式，搜集使用者名称、电脑名称、主机名称等资讯。

↓骇客寄出的电子邮件会以特定单位业务相关内容为邮件标题，附档中包括一个PPT及Word档，其中PPT档利用RTLO、较长的档名及ppt附档名，企图掩饰藏毒的屏幕保护程式，点选后会在收件者电脑内安装后门程式，同时开启一份简报档，使收件者不易察觉有异。

电脑被植入后门程式后，连到远端服务器，会开始检查电脑内安装的软件、Proxy设定，列出所有磁盘机、窃取资料、删除资料，执行骇客从远端发出的指令。

戴燊表示，趋势在今年第一季的资安报告就指出，76%的目标攻击都锁定政府部门，电子邮件更是骇客渗透锁定目标的常见攻击手法，这波攻击锁定政府部门，相关单位必需提高警觉。