Video: Project Cybersyn and Military Fridges: Citation Needed 4x02 (Oktober 2024)
Trend Micro-forskere fant en pågående cyber-spionasjeoperasjon, kalt Safe, og målrettet forskjellige organisasjoner i mer enn 100 land med spydfiskemails.
Operasjonen ser ut til å ha målrettet myndighetsorganer, teknologifirmaer, medier, akademiske forskningsinstitusjoner og frivillige organisasjoner, Kylie Wilhoit og Nart Villeneuve, to Trend Micro-trusselforskere, skrev på Security Intelligence Blog. Trend Micro mener over 12.000 unike IP-adresser spredt over 120 eller så land ble smittet med skadelig programvare. Imidlertid kommuniserte bare 71 IP-adresser i gjennomsnitt aktivt med C & C-serverne hver dag.
"Det faktiske antallet ofre er langt mindre enn antallet unike IP-adresser, " sa Trend Micro i whitepaper, men takket nei til å spekulere i et faktisk tall.
Sikker avhengighet av spydfisking
Safe består av to distinkte spyd phishing-kampanjer som bruker den samme stammen av skadelig programvare, men bruker forskjellige kommando- og kontrollinfrastrukturer, skrev forskerne i meldingen. Én kampanjes spydfiskemail hadde emnelinjer som refererte til enten Tibet eller Mongolia. Forskere har ennå ikke identifisert et felles tema i emnelinjene som ble brukt til den andre kampanjen, som har hevdet ofre i India, USA, Pakistan, Kina, Filippinene, Russland og Brasil.
Safe sendte e-post med spyd phishing til ofrene og lurte dem til å åpne et ondsinnet vedlegg som utnyttet et allerede oppdatert Microsoft Office-sikkerhetsproblem, ifølge Trend Micro. Forskere fant flere ondsinnede Word-dokumenter som, når de åpnes, lydløst installerte en nyttelast på offerets datamaskin. Sårbarheten for kjøring av ekstern kode i Windows Common Controls ble oppdatert i april 2012.
Detaljer om C & C-infrastruktur
I den første kampanjen koblet datamaskiner fra 243 unike IP-adresser i 11 forskjellige land til C & C-serveren. I den andre kampanjen kommuniserte datamaskiner fra 11.563 IP-adresser fra 116 forskjellige land med C & C-serveren. India så ut til å være den mest målrettede, med over 4000 infiserte IP-adresser.
En av C & C-servere ble satt opp slik at hvem som helst kunne se innholdet i katalogene. Som et resultat kunne Trend Micro-forskere bestemme hvem ofrene var, og også laste ned filer som inneholder kildekoden bak C & C-serveren og skadelig programvare. Når man ser på C & C-serverens kode, ser det ut til at operatørene har benyttet seg av legitim kildekode fra en internettleverandør i Kina, sa Trend Micro.
Angriperne koblet til C & C-serveren via VPN og brukte Tor-nettverket, noe som gjorde det vanskelig å spore hvor angriperne er basert. "Det geografiske mangfoldet av proxy-serverne og VPN-ene gjorde det vanskelig å bestemme deres sanne opprinnelse, " sa Trend Micro.
Angripere kan ha brukt kinesisk skadelig programvare
Basert på noen ledetråder i kildekoden, sa Trend Micro at det var mulig skadelig programvare ble utviklet i Kina. Det er ikke kjent på dette tidspunktet om Safe-operatørene utviklet skadelig programvare eller kjøpte den fra noen andre.
"Selv om det fortsatt er vanskelig å bestemme angriperne og identiteten til angriperne, vurderte vi at denne kampanjen er målrettet og bruker skadelig programvare utviklet av en profesjonell programvareingeniør som kan være koblet til den nettkriminelle undergrunnen i Kina, " skrev forskerne på bloggen.
