Видео: Настя и сборник весёлых историй (Ноябрь 2024)
Исследователи Trend Micro обнаружили, что продолжающаяся операция по кибершпионажу, получившая название Safe, предназначалась для различных организаций в более чем 100 странах с помощью фишинговых писем.
Похоже, что эта операция была нацелена на правительственные учреждения, технологические фирмы, средства массовой информации, академические исследовательские институты и неправительственные организации, - пишут Кайли Уилхойт и Нарт Вильнёв, два исследователя угроз Trend Micro, в блоге Security Intelligence Blog. Trend Micro считает, что более 12 000 уникальных IP-адресов, распределенных по 120 странам, были заражены вредоносным ПО. Однако только 71 IP-адрес в среднем активно взаимодействовал с C & C-серверами каждый день.
«Фактическое количество жертв намного меньше, чем количество уникальных IP-адресов», - говорится в официальном документе Trend Micro, но отказывается спекулировать на реальных цифрах.
Безопасное использование фишинга
Исследователи написали в Белой книге, что Safe состоит из двух отдельных фишинговых кампаний, использующих одно и то же вредоносное ПО, но с использованием различных командно-контрольных инфраструктур. Фишинговые электронные письма одной кампании содержали тематические строки, относящиеся либо к Тибету, либо к Монголии. Исследователи еще не определили общую тему в сюжетных линиях, используемых для второй кампании, жертвами которой стали Индия, США, Пакистан, Китай, Филиппины, Россия и Бразилия.
По словам Trend Micro, компания Safe отправила жертвам фишинговые электронные письма и обманом открыла вредоносное вложение, в котором использовалась уже исправленная уязвимость Microsoft Office. Исследователи обнаружили несколько вредоносных документов Word, которые при открытии молча устанавливали полезную нагрузку на компьютер жертвы. Уязвимость удаленного выполнения кода в Windows Common Controls была исправлена в апреле 2012 года.
Детали инфраструктуры C & C
В первой кампании компьютеры с 243 уникальными IP-адресами в 11 разных странах подключались к серверу C & C. Во второй кампании компьютеры с 11 563 IP-адресами из 116 разных стран обменивались данными с сервером C & C. Индия оказалась наиболее уязвимой, с более чем 4000 зараженных IP-адресов.
Один из серверов C & C был настроен таким образом, чтобы каждый мог просматривать содержимое каталогов. В результате исследователи Trend Micro смогли определить, кто были жертвами, а также загрузить файлы, содержащие исходный код сервера C & C и вредоносное ПО. Если посмотреть на код сервера C & C, то, как выяснилось в Trend Micro, операторы переделали законный исходный код от поставщика интернет-услуг в Китае.
Злоумышленники подключались к C & C-серверу через VPN и использовали сеть Tor, что затрудняло отслеживание места нахождения злоумышленников. «Географическое разнообразие прокси-серверов и VPN затрудняло определение их истинного происхождения», - сказали в Trend Micro.
Злоумышленники, возможно, использовали китайские вредоносные программы
Основываясь на некоторых подсказках в исходном коде, Trend Micro сказал, что, возможно, вредоносное ПО было разработано в Китае. На данный момент неизвестно, разработали ли операторы Safe вредоносную программу или купили ее у кого-то еще.
«Хотя определить намерения и личность злоумышленников по-прежнему сложно, мы оценили, что эта кампания нацелена и использует вредоносное ПО, разработанное профессиональным инженером-программистом, который может быть связан с киберпреступным подпольем в Китае», - пишут исследователи в блоге.
