· 会議 ( meeting )

（一）、突破

· 予算概算要求 ( budget estimation request )

图 1. 目前 ChessMaster 感染链

· 経済政策 ( economic policy )

趋势科技在 2017 年 7 月发现了 ChessMaster，这是我们监控保护客户的一部分。当时，我们发现 ChessMaster 针对日本的学术界、媒体和政府机构。威胁组织使用各种攻击工具和技术来窥探其目标。

· 世界経済 ( World economy )

· 日米対話 ( Japan-US dialogue )

当时，我们注意到 ChessMaster 的复杂性，这意味着该行动可能会发生变化。果然在几个月之后，行动中使用的工具和策略发生了变化。尽管初始行动非常全面，并且使用了远程特洛伊木马（RAT），如 ChChes 和 RedLeaves，但新攻击中使用了一种新的后门程序（趋势科技检测为 BKDR_ANEL.ZKEI），该程序利用 CVE-2017-8759 漏洞进行网络间谍活动。

图 2. 利用 CVE-2017-11882

但是，利用文档有所变化。当我们在 11 月份追踪 ChessMaster 时，注意到它利用了 Microsoft .NET 框架内的 SOAP WSDL 解析器漏洞 CVE-2017-8759（2017 年 9 月修补）来下载其他恶意软件。尽管 ChessMaster 仍然使用以前的漏洞，但它还为其武器添加了更多方法：其一是利用另一个漏洞 CVE-2017-11882（2017 年 11 月修补），，该漏洞也被利用来传播非法版本的 Loki infostealer。

一、技术分析

目前，ChessMaster 的流程从熟悉的钓鱼攻击开始，这些攻击涉及使用带有 doc、docx、rtf、csv 和 msg 格式附件恶意文件的电子邮件。电子邮件标题和附件名是用日语编写的，包含一般商业、政治和经济主题的短语，如

· 安倍再任 ( re-appointment of Prime Minister Abe )

在本文中，我们分析了目前 ChessMaster 的状态，包括其武器库中更新的工具，特别关注了 ANEL 的演变以及如何在行动中使用。

· 連絡網 ( contact network )

· 職員採用案 ( staff recruitment plan )