趨勢(shì)科技安全研究員披露了一場(chǎng)活躍的網(wǎng)絡(luò)間諜活動(dòng)行為���,到目前為止�,這次行動(dòng)所破壞的電腦分別屬于100多個(gè)國(guó)家的政府機(jī)構(gòu),科技公司����,媒體,學(xué)術(shù)研究機(jī)構(gòu)和非政府組織�����。
趨勢(shì)科技將這次的攻擊行為命名為SafeNet����,它的目標(biāo)對(duì)象是使用帶有惡意附件的釣魚郵件的用戶。該公司的研究人員調(diào)查了這次操作�,并于周五在一份研究報(bào)告中公布了自己的發(fā)現(xiàn)。
這一調(diào)查發(fā)現(xiàn)了兩套C&C服務(wù)器��,它們指示著兩個(gè)單獨(dú)的SafeNet攻擊行動(dòng)�����,雖然目標(biāo)不同����,但卻是用相同的惡意軟件。
其中一場(chǎng)攻擊是使用帶有西藏和蒙古內(nèi)容的釣魚郵件����。這些郵件帶有.doc附件,利用的是微軟Word軟件的漏洞���,該漏洞微軟在2012年4月出了補(bǔ)丁����。
從這場(chǎng)攻擊的C&C服務(wù)器所收集的訪問(wèn)日志發(fā)現(xiàn)���,共有來(lái)自11個(gè)國(guó)家的243個(gè)IP地址����。但是�,研究者在調(diào)查過(guò)程中發(fā)現(xiàn)僅有三位受害者還有活動(dòng)跡象,其IP地址來(lái)自蒙古共和國(guó)和蘇丹����。
據(jù)研究者透露��,第二場(chǎng)攻擊行動(dòng)的C&C服務(wù)器則記錄了116個(gè)國(guó)家的11563個(gè)IP地址�����,不過(guò)真正受害用戶的數(shù)量應(yīng)該遠(yuǎn)小于這個(gè)數(shù)�。在調(diào)查期間��,有71位受害者的電腦與這臺(tái)C&C服務(wù)器溝通�����。
第二次攻擊中使用的郵件雖未被識(shí)別����,但是這次攻擊的范圍較第一次的要廣,而且受害者的地理分布比較分散�。排名前五的受害IP在印度,美國(guó)��,中國(guó)�,巴基斯坦,菲律賓和俄羅斯����。
被感染電腦上所安裝的惡意軟件主要用于偷取信息��,但是其功能可通過(guò)額外的模塊來(lái)增強(qiáng)���。研究者在C&C服務(wù)器上發(fā)現(xiàn)了用于特別用途的插件組件���,還發(fā)現(xiàn)了可把IE和Firefox瀏覽器記下的密碼提取出來(lái)的現(xiàn)成程序���,以及Windows中遠(yuǎn)程桌面協(xié)議憑據(jù)。
“雖然通常都很難確定攻擊者的意圖和身份����,但是我們確定了SafeNet攻擊是有目標(biāo)的,而且它使用了專業(yè)軟件工程師開發(fā)的惡意軟件�,這些工程師或許與中國(guó)的地下網(wǎng)絡(luò)罪犯有關(guān),”趨勢(shì)科技研究師們?cè)谘芯繄?bào)告中寫道���。“攻擊者可能曾在中國(guó)比較有名的技術(shù)大學(xué)學(xué)習(xí)��,似乎還訪問(wèn)過(guò)一家互聯(lián)網(wǎng)服務(wù)公司的源代碼庫(kù)�����。”
這個(gè)C&C服務(wù)器的操作者是從不同國(guó)家的IP地址接入C&C服務(wù)器�,但是最常見的是從中國(guó)和香港的地址接入,趨勢(shì)科技研究者稱����。“我們還看了其VPN和代理工具的使用情況,包括Tor�,它們主要是用來(lái)為攻擊者制造地理位置多變的IP地址。”
