趨勢科技安全研究員披露了一場活躍的網(wǎng)絡(luò)間諜活動行為��,到目前為止����,這次行動所破壞的電腦分別屬于100多個國家的政府機(jī)構(gòu),科技公司����,媒體,學(xué)術(shù)研究機(jī)構(gòu)和非政府組織�����。
趨勢科技將這次的攻擊行為命名為SafeNet,它的目標(biāo)對象是使用帶有惡意附件的釣魚郵件的用戶���。該公司的研究人員調(diào)查了這次操作��,并于周五在一份研究報告中公布了自己的發(fā)現(xiàn)���。
這一調(diào)查發(fā)現(xiàn)了兩套C&C服務(wù)器,它們指示著兩個單獨的SafeNet攻擊行動�����,雖然目標(biāo)不同�,但卻是用相同的惡意軟件。
其中一場攻擊是使用帶有西藏和蒙古內(nèi)容的釣魚郵件�。這些郵件帶有.doc附件,利用的是微軟Word軟件的漏洞����,該漏洞微軟在2012年4月出了補(bǔ)丁。
從這場攻擊的C&C服務(wù)器所收集的訪問日志發(fā)現(xiàn)�����,共有來自11個國家的243個IP地址�。但是�����,研究者在調(diào)查過程中發(fā)現(xiàn)僅有三位受害者還有活動跡象,其IP地址來自蒙古共和國和蘇丹�。
據(jù)研究者透露,第二場攻擊行動的C&C服務(wù)器則記錄了116個國家的11563個IP地址��,不過真正受害用戶的數(shù)量應(yīng)該遠(yuǎn)小于這個數(shù)���。在調(diào)查期間����,有71位受害者的電腦與這臺C&C服務(wù)器溝通����。
第二次攻擊中使用的郵件雖未被識別,但是這次攻擊的范圍較第一次的要廣��,而且受害者的地理分布比較分散����。排名前五的受害IP在印度,美國����,中國��,巴基斯坦�����,菲律賓和俄羅斯����。
被感染電腦上所安裝的惡意軟件主要用于偷取信息���,但是其功能可通過額外的模塊來增強(qiáng)�����。研究者在C&C服務(wù)器上發(fā)現(xiàn)了用于特別用途的插件組件��,還發(fā)現(xiàn)了可把IE和Firefox瀏覽器記下的密碼提取出來的現(xiàn)成程序�����,以及Windows中遠(yuǎn)程桌面協(xié)議憑據(jù)��。
“雖然通常都很難確定攻擊者的意圖和身份��,但是我們確定了SafeNet攻擊是有目標(biāo)的����,而且它使用了專業(yè)軟件工程師開發(fā)的惡意軟件,這些工程師或許與中國的地下網(wǎng)絡(luò)罪犯有關(guān)�,”趨勢科技研究師們在研究報告中寫道����。“攻擊者可能曾在中國比較有名的技術(shù)大學(xué)學(xué)習(xí),似乎還訪問過一家互聯(lián)網(wǎng)服務(wù)公司的源代碼庫�。”
這個C&C服務(wù)器的操作者是從不同國家的IP地址接入C&C服務(wù)器,但是最常見的是從中國和香港的地址接入����,趨勢科技研究者稱。“我們還看了其VPN和代理工具的使用情況�����,包括Tor���,它們主要是用來為攻擊者制造地理位置多變的IP地址�����。”
