Видео: ДвернаÑ? охота (Выломаные двери) (Септември 2024)
Продължаваща операция в кибер-шпионажа, наречена „Безопасна“, насочена към различни организации в повече от 100 държави с копие от фишинг имейли, откриха изследователи от Trend Micro.
Изглежда, че операцията е насочена към правителствени агенции, технологични фирми, медии, академични изследователски институции и неправителствени организации, Кайли Уилхойт и Нарт Вилньов, двама изследователи на заплахата от Trend Micro, пише в блога на Security Intelligence. Trend Micro вярва, че над 12 000 уникални IP адреса, разпространени в над 120 страни, са заразени със злонамерен софтуер. Средно обаче само 71 IP адреса активно комуникират със C&C сървърите всеки ден.
„Действителният брой на жертвите е далеч по-малък от броя на уникалните IP адреси“, заяви Trend Micro в своя документ, но отказа да спекулира с действителна цифра.
Безопасно разчита на копие с фишинг
Safe се състои от две различни фишинг кампании с копие, използващи един и същ щам на злонамерен софтуер, но използвайки различни инфраструктури за командване и контрол, пишат изследователите в бялата книга. Фиш имейлите за копиране на копия на една кампания имаха тематични редове, отнасящи се до Тибет или Монголия. Изследователите все още не са идентифицирали обща тема в темите, използвани за втората кампания, която заяви жертви в Индия, САЩ, Пакистан, Китай, Филипините, Русия и Бразилия.
Безопасно изпрати копия с фишинг имейли на жертви и ги подмами да отворят злонамерен прикачен файл, който използва вече закърпената уязвимост на Microsoft Office, според Trend Micro. Изследователите откриха няколко злонамерени документи на Word, които при отваряне безшумно инсталираха полезен товар на компютъра на жертвата. Уязвимостта на отдалеченото изпълнение на кода в Windows Common Controls беше намерена през април 2012 г.
Подробности за C&C инфраструктурата
В първата кампания компютри от 243 уникални IP адреса в 11 различни страни, свързани към C&C сървъра. Във втората кампания компютрите от 11 563 IP адреси от 116 различни страни са комуникирали със C&C сървъра. Индия се оказа най-насочената с над 4000 заразени IP адреси.
Един от C&C сървърите е настроен така, че всеки да може да разглежда съдържанието на директории. В резултат изследователите на Trend Micro успяха да определят кои са жертвите, както и да изтеглят файлове, съдържащи изходния код зад C&C сървъра и зловредния софтуер. Разглеждайки кода на C&C сървъра, изглежда, че операторите са сменили законния изходен код от доставчик на интернет услуги в Китай, заяви Trend Micro.
Атакуващите се свързвали към C&C сървъра през VPN и използвали мрежата Tor, което затруднявало проследяването на мястото, където са базирани атакуващите. "Географското разнообразие на прокси сървърите и VPN затруднява определянето на истинския им произход", заяви Trend Micro.
Нападателите може да са използвали китайски зловреден софтуер
Въз основа на някои улики в изходния код, Trend Micro заяви, че е възможно зловредният софтуер да е разработен в Китай. Към момента не е известно дали Безопасните оператори са разработили зловредния софтуер или са го купили от някой друг.
"Въпреки че определянето на намерението и самоличността на нападателите остава трудно, ние оценихме, че тази кампания е насочена и използва злонамерен софтуер, разработен от професионален софтуерен инженер, който може да бъде свързан с киберпрестъпниците в Китай", пишат изследователите в блога.
