正值3·8女人節(jié)期間，一個被偵測為TROJ_ARTIEF.LN，文件名為“The incredible story of Jeremy Lin the NBA new superstar.doc(NBA超級新星林書豪令人難以相信的故事)” 的惡意文件開始蔓延。它利用微軟Office的一個漏洞(CVE-2010-3333)將惡意軟件放入目標(biāo)的電腦上。這個惡意軟件被趨勢科技偵測為 BKDR_MECIV.LN。一旦弱點攻擊成功，就會打開一份乾凈的文件，好讓目標(biāo)不去懷疑有任何惡意行為的發(fā)生。趨勢科技表示，近年APT滲透攻擊越來越頻繁。當(dāng)目標(biāo)收到一封電子郵件，誘導(dǎo)受害目標(biāo)打開附件。這個攻擊者所附加的文件夾包含了惡意程序代碼，可以去攻擊常用軟件的漏洞。攻擊者在惡意軟件里嵌入了一個獨特的識別特征以供監(jiān)視,這樣就可以讓攻擊者獲得電腦的控制權(quán)，并且取得資料。攻擊者可能會接著去入侵目標(biāo)所處的整個網(wǎng)絡(luò)，而且通常可以保持長時間的控制受害者的電腦。最終，攻擊者會找到并且取得受害者所處的網(wǎng)絡(luò)內(nèi)部的敏感資料。

這次攻擊事實上是趨勢科技去年所報告入侵了61個國家1465臺電腦,包含外交等單位的LURID攻擊活動(通常也被稱為Enfal)的一部分。它的受害者主要出現(xiàn)在東歐和中亞。而林來瘋攻擊則持續(xù)了這一攻勢。

這里也解譯了返回的僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet指揮和控制服務(wù)器的信息：

[host name]:[mac address]

[ip address]

windows xp

1252:0409

tt

tb0216

n

n

n

2.14

這個信息包含了主機名稱、MAC地址和受害者的IP地址，還有操作系統(tǒng)跟語系設(shè)定。此外它還包含了攻擊代碼tb0216，好讓攻擊者可以追蹤他們的攻擊活動。在這次的案例中，攻擊代碼包括了攻擊日期0216和tb。

和趨勢科技對LURID攻擊的報告所指出的一樣，這次攻擊還針對了前蘇聯(lián)的國家。在2012年2月8日，趨勢科技發(fā)現(xiàn)了另一起攻擊針對東歐的政府辦公室。

這個附件文件被偵測為TROJ_ARTIEF.LN，利用微軟Office的漏洞(CVE-2010-3333)來將惡意軟件放入目標(biāo)的電腦上。這個惡意軟件被偵測為BKDR_MECIV.LN。一旦弱點攻擊成功之后，會打開一份乾凈的文件。電子郵件和乾凈的文件文件包含了由政府間組織所舉辦的會議信息。

以下是傳回指揮和控制服務(wù)器的信息：

[host name]:[mac address]

[ip address]

windows xp

1252:0409

svchsot.exe

0dayfeb03.exe

n

n

n

2.14

被嵌在這次攻擊的代碼是0dayfeb-3.exe，帶有日期(2012年2月3日)，也就是目標(biāo)攻擊電子郵件寄送出來的幾天前。盡管提到了0day，但這次攻擊所使用的漏洞是已經(jīng)很久但還是很有效的CVE-2010-3333。

這些攻擊事件證明了廣為人知的攻擊活動還是會長時間地繼續(xù)運行下去。這些攻擊的幕后黑手會利用相同惡意軟件的變種來不斷地對目標(biāo)發(fā)動新的攻擊。攻擊者會持續(xù)利用新聞事件來誘騙受害者執(zhí)行惡意的電子郵件附件文件。

huanghui