Video: Framgångsprofiler i kundservice - Växel och telemarketing (September 2024)
En pågående cyber-spionage-operation, kallad Safe, riktade sig till olika organisationer i mer än 100 länder med spjutfiskemails, fann forskare från Trend Micro.
Operationen verkar ha riktade myndigheter, teknikföretag, medier, akademiska forskningsinstitutioner och icke-statliga organisationer, Kylie Wilhoit och Nart Villeneuve, två Trend Micro-hotforskare, skrev på Security Intelligence Blog. Trend Micro anser att över 12 000 unika IP-adresser spridda över 120-eller-så-länder var infekterade med skadlig kod. Men bara 71 IP-adresser kommunicerade i genomsnitt aktivt med C & C-servrarna varje dag.
"Det faktiska antalet offer är mycket mindre än antalet unika IP-adresser, " sade Trend Micro i sin whitepaper, men vägrade att spekulera i en verklig siffra.
Säkra förlitar sig på spjutfiske
Safe består av två distinkta spjutfiskningskampanjer som använder samma stam av skadlig programvara, men med olika kommando- och kontrollinfrastrukturer, skrev forskarna i vitboken. En kampanjens spjutfiskningsmeddelanden hade ämnesrader som hänvisade till antingen Tibet eller Mongoliet. Forskare har ännu inte identifierat ett gemensamt tema i ämnesraderna som användes för den andra kampanjen, som har gjort anspråk på offer i Indien, USA, Pakistan, Kina, Filippinerna, Ryssland och Brasilien.
Safe skickade e-post med spjutfiskning till offer och lurade dem att öppna en skadlig bilaga som utnyttjade en redan korrigerad Microsoft Office-sårbarhet, enligt Trend Micro. Forskare fann flera skadliga Word-dokument som, när de öppnades, tyst installerade en nyttolast på offrets dator. Sårbarheten för exekvering av fjärrkod i Windows Common Controls korrigerades i april 2012.
Detaljer om C & C-infrastruktur
I den första kampanjen, datorer från 243 unika IP-adresser i 11 olika länder anslutna till C & C-servern. I den andra kampanjen kommunicerade datorer från 11 563 IP-adresser från 116 olika länder med C & C-servern. Indien verkade vara det mest riktade, med över 4 000 infekterade IP-adresser.
En av C & C-servrar inställdes så att vem som helst kunde se innehållet i katalogerna. Som ett resultat kunde Trend Micro-forskare bestämma vem offren var och även ladda ner filer som innehåller källkoden bakom C & C-servern och skadlig programvara. När man tittar på C & C-serverns kod verkar det som om operatörerna återtog legitim källkod från en internetleverantör i Kina, sade Trend Micro.
Angriparna anslöt till C & C-servern via VPN och använde Tor-nätverket, vilket gjorde det svårt att spåra var angriparna är baserade. "Den geografiska mångfalden hos proxyservrarna och VPN: erna gjorde det svårt att bestämma deras verkliga ursprung, " sade Trend Micro.
Angripare kan ha använt kinesiskt skadligt program
Baserat på några ledtrådar i källkoden sa Trend Micro att det var möjligt att skadlig programvara utvecklades i Kina. Det är inte känt just nu om Safe-operatörerna utvecklade skadlig programvara eller köpte den från någon annan.
"Även om det fortfarande är svårt att fastställa angriparnas avsikt och identitet, bedömde vi att den här kampanjen är riktad och använder skadlig programvara utvecklad av en professionell programvaruingenjör som kan vara ansluten till den cyberkriminella tunnelbanan i Kina, " skrev forskarna på bloggen.
