Adlı yeni küresel siber saldırı operasyonu ortaya çıkardı Araştırmacılar, Güvenli

Trend Micro'nun güvenlik araştırmacıları, bugüne kadar hükümet bakanlıklarına, teknoloji şirketlerine, medya kuruluşlarına, akademik kuruluşlara ait bilgisayarlardan etkilenen aktif bir siber saldırı operasyonu ortaya çıkardılar. 100'den fazla ülkeden araştırma kurumları ve sivil toplum örgütleri.

Trend Micro'nun Güvenli olarak adlandırdığı operasyon, potansiyel kurbanları mızrak avcısı e-postaları kullanarak kötü niyetli eklerle hedefliyor. Şirketin araştırmacıları, operasyonu araştırdılar ve bulguları ile birlikte bir araştırma raporu yayınladılar Cuma.

İki taktik fark edildi.

Soruşturma, iki ayrı Güvenli gibi görünen iki komuta ve kontrol (C & C) sunucusu ortaya çıkardı. Farklı hedefleri olan saldırgan kampanyaları hedefleyin, ancak aynı kötü amaçlı yazılımı kullanın.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bir kampanyada, Tibet ve Moğolistan ile ilgili içerik barındıran mızrak e-postaları kullanılıyor. Bu e-postalar, Microsoft tarafından 2012 Nisan ayında yamalanan bir Microsoft Word güvenlik açığından yararlanan ekleri vardır.

Bu kampanyanın C & C sunucularından toplanan erişim günlükleri, 11 farklı ülkeden toplam 243 benzersiz mağdur IP (Internet Protokolü) adresi ortaya çıkardı. Ancak araştırmacılar, Moğolistan ve Güney Sudan'dan IP adresleri ile soruşturma sırasında hala aktif olan sadece üç kurban buldular.

İkinci saldırı kampanyasına karşılık gelen C & C sunucuları 116 farklı ülkeden 11.563 eşsiz kurban IP adresi kaydettirdi. Araştırmacılar, ancak kurbanların gerçek sayısının çok daha düşük olabileceğini söyledi. Ortalama olarak, 71 kurban, soruşturma sırasında herhangi bir zamanda bu C & C sunucuları kümesiyle aktif bir şekilde iletişim kuruyorlardı.

İkinci saldırı kampanyasında kullanılan saldırı e-postaları belirlenemedi, ancak kampanya daha büyük görünüyor. kapsam ve mağdurlar coğrafi olarak daha yaygın olarak dağılmıştır. Mağdurun IP adresi sayısının ilk beş ülkesi Hindistan, ABD, Çin, Pakistan, Filipinler ve Rusya'dır.

Bir görevde kötü amaçlı yazılım

Enfekte bilgisayarlara yüklenen kötü amaçlı yazılımlar öncelikle bilgi çalmak üzere tasarlanmıştır. işlevselliği ek modüller ile geliştirilebilir. Araştırmacılar, Internet Explorer ve Mozilla Firefox’tan kaydedilmiş parolaları ve ayrıca depolanan Uzak Masaüstü Protokolü’ndeki kimlik bilgilerini saklamak için kullanılabilen hazır programların yanı sıra, komut ve kontrol sunucularında özel amaçlı eklenti bileşenleri buldular. Windows.

"Saldırganların niyetini ve kimliğini tespit etmek çoğu kez zor olsa da, Güvenli kampanyanın hedeflendiğini ve Çin'de siber suçluya bağlı olabilecek profesyonel bir yazılım mühendisinin geliştirdiği kötü amaçlı yazılımları kullandığını belirledik" Trend Micro araştırmacıları makalelerinde söylediler. "Bu kişi aynı ülkede önde gelen bir teknik üniversitede okudu ve bir İnternet hizmetlerinin kaynak kod deposuna erişebileceği anlaşılıyor."

C & C sunucularının operatörleri, çeşitli ülkelerdeki IP adreslerinden eriştiler, ancak çoğu zaman Çin ve Hong Kong, Trend Micro araştırmacıları söyledi. "Ayrıca, operatörlerin IP adreslerinin coğrafi çeşitliliğine katkıda bulunan Tor da dahil olmak üzere VPN'lerin ve proxy araçlarının kullanımını da gördük."

Makale, Trend Micro'nun adını değiştirdiğini belirtmek üzere 9: 36'da PT'de güncellendi. Hikayenin konusu olan siber saldırı operasyonu ve araştırma raporuna bağlantı.