攻擊者使用中東呼吸綜合癥(MERS)病毒的爆發(fā)作為誘餌，發(fā)送釣魚郵件給日本大眾傳媒公司。攻擊者使用了免費的雅虎郵箱賬號輕易地躲過了反垃圾郵件過濾系統(tǒng)，復制了網(wǎng)上公開的信息引誘受害者打開郵件。

郵件標題是日語：“轉(zhuǎn)發(fā):中東呼吸綜合癥(MERS)的防范”，而附件名為“中東呼吸綜合癥(MERS)的防范.7z”

郵件中包含一個經(jīng)過壓縮的.CHM文件(CHM_ZXSHELL.B)，即Windows幫助文件，文件會展示來自一個流行的日本信息網(wǎng)站上關(guān)于MERS的相關(guān)頁面。這個.CHM文件會放出后門文件ZXShell，它會在后臺運行，在針對性攻擊中非常常見。

大量機密數(shù)據(jù)是動機

根據(jù)趨勢科技觀察到的情況，傳媒公司和娛樂公司的網(wǎng)絡中存在大量機密數(shù)據(jù)，使得黑客們有動機進行針對性攻擊。在索尼影業(yè)的攻擊中，黑客不僅獲取了索尼員工的個人信息，還竊取了幾部尚未發(fā)行的電影，公布了索尼影視高層的薪資。另外，傳媒公司和娛樂公司會被用作宣傳的喉舌，前陣子法國電視臺TV5Monde的社交網(wǎng)絡賬號被黑，就被用作伊斯蘭國(ISIS)宣傳工具。

CHM幫助文件中的ZXShell

7z文件中包含的.CHM會顯示關(guān)于MERS的信息，如下圖:

在這個案例中，.CHM文件會釋放后門ZXShell (BKDR_ZXSHELL.B)，它會駐足在受感染的電腦中，等待攻擊者發(fā)出命令。黑客可以利用這個后門尋找網(wǎng)絡中的敏感數(shù)據(jù)。

CHM文件在網(wǎng)絡攻擊中越來越常見。它可以輕易繞過Windows的安全措施。雖然在攻擊中使用CHM文件并不是個新方法，而且最近CryptoWall勒索軟件也開始使用CHM文件，但到現(xiàn)在為止很少被用于針對性攻擊中。而ZXShell后門則經(jīng)常是利用微軟Office和Ichitaro(日本文字處理軟件)的exp。這次事件中的黑客展示了另一種感染目標機器的方法，無需要用exp。用戶可能會提防那些惡意網(wǎng)站，但不注意通過郵件發(fā)送的這些幫助文件。

以下是事件相關(guān)的SHA1校驗值:

e6cc91c0358db79048fce805fae90f9023f789f7

855bb7e85353fb78c089ef44cc24ce832dd4feaf

3c5329b36ffd13b83679c848a4797f8eeffef521

7e9b6575c672be0ffba7f647ba59d979a2843e4d