วีดีโอ: Крис Домас: Единички и нолики кибер-войны (ธันวาคม 2024)
การปฏิบัติการจารกรรมทางไซเบอร์อย่างต่อเนื่องได้รับการขนานนามว่าปลอดภัยซึ่งกำหนดเป้าหมายไปยังองค์กรต่าง ๆ ในกว่า 100 ประเทศด้วยอีเมลฟิชชิ่งหอกนักวิจัยของ Trend Micro
การดำเนินการดูเหมือนจะมีหน่วยงานภาครัฐ บริษัท เทคโนโลยีสื่อสถาบันวิจัยและองค์กรเอกชน Kylie Wilhoit และ Nart Villeneuve นักวิจัยภัยคุกคาม Trend Micro สองคนเขียนไว้ในบล็อก Security Intelligence Trend Micro เชื่อว่าที่อยู่ IP ที่ไม่ซ้ำกันกว่า 12, 000 แห่งกระจายอยู่ใน 120 ประเทศที่ติดมัลแวร์ อย่างไรก็ตามโดยเฉลี่ยแล้วมีที่อยู่ IP เพียง 71 แห่งเท่านั้นที่สื่อสารกับเซิร์ฟเวอร์ C&C ทุกวัน
"จำนวนผู้ที่ตกเป็นเหยื่อจริงนั้นน้อยกว่าจำนวนที่อยู่ IP ที่ไม่ซ้ำกัน" Trend Micro กล่าวในเอกสารทางการเงิน แต่ปฏิเสธที่จะคาดเดาตัวเลขจริง
ปลอดภัยใช้ฟิชชิ่งหอก
ปลอดภัยประกอบด้วยแคมเปญฟิชชิงหอกที่แตกต่างกันสองรายการโดยใช้มัลแวร์สายพันธุ์เดียวกัน แต่ใช้โครงสร้างพื้นฐานคำสั่งและการควบคุมที่แตกต่างกัน อีเมลฟิชชิ่งหอกของแคมเปญหนึ่งมีหัวเรื่องที่อ้างถึงทิเบตหรือมองโกเลีย นักวิจัยยังไม่ได้ระบุหัวข้อทั่วไปในหัวเรื่องที่ใช้สำหรับการรณรงค์ครั้งที่สองซึ่งอ้างว่าตกเป็นเหยื่อในอินเดียสหรัฐอเมริกาปากีสถานจีนฟิลิปปินส์ฟิลิปปินส์รัสเซียและบราซิล
Safe ส่งหอกฟิชชิ่งอีเมลไปยังผู้ที่ตกเป็นเหยื่อและหลอกให้พวกเขาเปิดเอกสารแนบที่เป็นอันตรายซึ่งใช้ช่องโหว่ของ Microsoft Office ที่ได้รับการแก้ไขแล้วตาม Trend Micro นักวิจัยพบเอกสาร Word ที่เป็นอันตรายหลายฉบับซึ่งเมื่อเปิดแล้วจะติดตั้ง payload ไว้ในคอมพิวเตอร์ของเหยื่อ ช่องโหว่การเรียกใช้รหัสระยะไกลใน Windows Common Controls ได้รับการแก้ไขแล้วในเดือนเมษายน 2555
รายละเอียดของโครงสร้างพื้นฐาน C&C
ในแคมเปญแรกคอมพิวเตอร์จากที่อยู่ IP 243 ที่ไม่ซ้ำกันใน 11 ประเทศที่เชื่อมต่อกับเซิร์ฟเวอร์ C&C ในแคมเปญที่สองคอมพิวเตอร์จาก 11, 563 ที่อยู่ IP จาก 116 ประเทศที่สื่อสารกับเซิร์ฟเวอร์ C&C อินเดียดูเหมือนจะเป็นเป้าหมายมากที่สุดโดยมีที่อยู่ IP มากกว่า 4, 000 รายการที่ติดเชื้อ
หนึ่งในเซิร์ฟเวอร์ C&C ถูกตั้งค่าเพื่อให้ทุกคนสามารถดูเนื้อหาของไดเรกทอรีได้ เป็นผลให้นักวิจัยของ Trend Micro สามารถระบุได้ว่าใครเป็นผู้เสียหายและสามารถดาวน์โหลดไฟล์ที่มีซอร์สโค้ดหลังเซิร์ฟเวอร์ C&C และมัลแวร์ได้ เมื่อดูที่รหัสของเซิร์ฟเวอร์ C&C จะปรากฏว่าผู้ประกอบการเรียกคืนซอร์สโค้ดที่ถูกต้องตามกฎหมายจากผู้ให้บริการอินเทอร์เน็ตในจีน Trend Micro กล่าว
ผู้โจมตีกำลังเชื่อมต่อกับเซิร์ฟเวอร์ C&C ผ่าน VPN และการใช้เครือข่ายของ Tor ทำให้ยากต่อการติดตามตำแหน่งของผู้โจมตี "ความหลากหลายทางภูมิศาสตร์ของพร็อกซีเซิร์ฟเวอร์และ VPN ทำให้ยากต่อการพิจารณาที่มาที่แท้จริงของพวกเขา" Trend Micro กล่าว
ผู้โจมตีอาจใช้มัลแวร์จีน
Trend Micro กล่าวว่าเป็นไปได้ว่ามัลแวร์ได้รับการพัฒนาในประเทศจีน ในตอนนี้ยังไม่มีใครรู้ว่าผู้ให้บริการ Safe พัฒนามัลแวร์หรือซื้อจากคนอื่น
"ในขณะที่การพิจารณาเจตนาและเอกลักษณ์ของผู้โจมตียังคงเป็นเรื่องยากเราประเมินว่าแคมเปญนี้มีการกำหนดเป้าหมายและใช้มัลแวร์ที่พัฒนาโดยวิศวกรซอฟต์แวร์มืออาชีพที่อาจเชื่อมต่อกับอาชญากรไซเบอร์ใต้ดินในจีน" นักวิจัยเขียนไว้ในบล็อก