Çinli hackerların çalışması, kimlik avı yemliği olarak sallanıyor

Saldırganlar, Japon ve Çinli kullanıcıları hedef alan yeni mızrak avcılığı saldırılarında yem olarak Çinli bir cyberespionage grubuyla ilgili yeni çıkan bir raporun sahte versiyonlarını kullanıyor.

Salı günü, güvenlik şirketi Mandiant tarafından yayınlandı ve 2006'dan bu yana farklı sektörlerden 100'den fazla şirket ve kuruluşa karşı Yorum Ekibi olarak bilinen bir hacker grubu tarafından yapılan siber saldırı kampanyaları ayrıntılı bir şekilde belgelendi.

Mandiant, gruba APT1 (İleri Kalıcı) olarak atıfta bulunuyor Tehdit 1) ve raporda, Çin Ordusu-Halk Kurtuluş Ordusu'nun (PLA) kod adlı "Unit 61398."

gizli bir Şanghay merkezli siberpresaj birimi olduğunu iddia ediyor [

] [Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Çin hükümeti Mandiant'ın iddialarını asılsız olarak reddetti. Ancak, rapor, BT güvenlik sektöründeki insanlardan ve genel kamuoyundan çok ilgi gördü.

Görünüşe göre bu tanıtım, saldırganların yeni hedefe yönelik saldırılarda raporu yem olarak kullanmaya karar vermesine neden oldu.

Malware, Mandiant'ın raporu olarak öne çıkıyor

Güvenlik şirketi Seculert'in teknoloji baş teknoloji sorumlusu Aviv Raff, "Geçen hafta, Mandiant raporu olarak maskelenen kötü niyetli ekleri olan e-postalar kullanarak iki farklı mızrak avı saldırısı tespit edildi.

Saldırı Japonca konuşan kullanıcıları hedefledi ve Mandiant.pdf adlı eki içeren e-postaları dahil etti. Bu PDF dosyası Adobe tarafından bir acil durum güncellemesi için Adobe tarafından yamalanan bir güvenlik açığından yararlanıyor Çarşamba, güvenlik araştırmacıları Seculert bir blog yazısında söyledi.

Kötüye kullanım tarafından yüklenen kötü amaçlı yazılım barındırılan bir komut ve kontrol sunucusuna bağlanır. Kore, ama aynı zamanda bazı Japon web siteleriyle temas kuruyor, muhtemelen güvenlik ürünlerini kandırmak için bir girişimde bulundu, Seculert araştırmacılar dedi.

Symantec ayrıca, mızrak avcılığı saldırılarını tespit etti ve analiz etti. Symantec araştırmacısı Joji Hamada bir blogda "Bu e-posta, raporu öneren medyadaki birinden geldiğini ileri sürüyor." Dedi. Ancak, Japon bir kişi için e-postanın yerli bir Japonca konuşmacının yazılmadığını açıkça belirtti.

Hamada, benzer taktiklerin geçmişte kullanıldığına işaret etti. 2011'de bir olayda, hackerlar, Symantec tarafından yem olarak yayınlanan hedefe yönelik saldırılar hakkında bir araştırma raporu kullandılar. Hamada, "Bunu, bir arşiv ekinde gizlenmiş kötü amaçlı yazılımlarla birlikte gerçek beyaz kağıda hedeflerle spam yaparak yaptılar."

Eski Adobe hatasını patlatıyor

İkinci mızrak avı saldırısı, Çince konuşan kullanıcıları hedef aldı ve kötü amaçlı bir yöntem kullanıyor "Mandiant_APT2_Report.pdf." adlı eklenti

Güvenlik danışmanlığı firması 9b + 'dan araştırmacı Brandon Dixon tarafından yapılan PDF dosyasının bir analizine göre, belge 2011 yılında keşfedilen ve yamalanan eski bir Adobe Reader güvenlik açığından yararlanıyor.

Kötü amaçlı yazılım sisteme yüklenen sistem, şu anda Çin'de bir sunucuya işaret eden bir alana bir bağlantı kurar, Dixon e-posta yoluyla dedi. "Kötü amaçlı yazılım, saldırganlara kurbanın sistemi üzerindeki komutları yürütme yeteneği sağlıyor."

Bu kötü amaçlı yazılımın temas ettiği alan adı, Tibetli aktivistleri hedef alan saldırılarda geçmişte de kullanılıyordu. Bu eski saldırılar hem Windows hem de Mac OS X kötü amaçlı yazılımlarını kurdu, dedi.