【Trend Micro 報告】威脅組織Tropic Trooper 專門入侵交通組織及政府機構

Trend Micro 報告指，2020 年中起，一個名為 Tropic Trooper 的威脅組織，持續針對與交通運輸部門相關的組織和政府體系行動。這個高級長期威脅 (Advanced Persistent Threat, APT) 也被稱為 Earth Centaur 和 KeyBoy，由 2011 年起一直存在，主要針對香港、菲律賓和台灣的政府、醫療保健、高科技和交通部門的組織，作間諜活動。Trend Micro 指出，由於在 ChiserClient 發現用注音鍵盤輸入法的編碼，相信該組織成員來自說中文的地區。

在過去一年半的一部分攻擊中，Trend Micro 警告指，該組織試圖存取目標組織的航班時刻表、財務計劃和其他內部文件，以及在受感染主機中的任何可用個人資料，包括搜索歷史。Trend Micro 對該組的監察發現其 red team 合作熟練，因為對手可以輕易地繞過安全設置，防止其活動成為障礙，並採用反向代理以繞過網絡安全系統。Trend Micro 研究人員還觀察到 APT 使用開源框架，使其能輕鬆提出新的後門變種，並可能會對其他行業的攻擊採用相同策略。

Tropic Trooper 使用多階段感染過程，其中利用 Internet Information Services (IIS) 和 Microsoft Exchange 漏洞（包括 ProxyLogon）進行入侵。之後攻擊者會安裝 web shells，並部署 Nerapack .NET 加載程式和 Quasar RAT 作為第一階段的惡意軟件。然後再根據受害者再部署不同類型的第二階段後門，包括 ChiserClient 和 SmileSvr，攻擊者開始運用 Active Directory (AD) ，利用伺服器訊息區塊 (Server Message Block, SMB) 在網絡中傳播，並嘗試獲取登錄憑證。

Trend Micro 指，該威脅集團開發了多個能夠通過普通網絡協議進行通訊的後門，並認為這反映他們有能力通過使用這些通用協議來傳輸數據，從而繞過網絡安全系統，另還發現，該組織試圖為每個受害者啟動各種後門。

根據從命令和控制（C&C）服務器收到的命令，所採用的後門可以下載文件、寫或讀文件、打開 command shells 以執行命令、上傳文件、列出目錄和文件等等，並根據受害者的情況，使用支持不同協議的後門。Trend Micro 形容，這些威脅行為者明顯複雜並具備精良技術。Trend Micro 更指透過深入研究該組織使用的新方法，他們發現該組織有一個工具庫，能夠在評估後再破壞其目標，並保持不被人發現。

資料來源：https://bit.ly/3ssqoau、https://bit.ly/3yJox2v