趨勢科技安全研究員披露了一場活躍的網(wǎng)絡間諜活動行為��,到目前為止��,這次行動所破壞的電腦分別屬于100多個國家的政府機構���,科技公司��,媒體,學術研究機構和非政府組織�。
趨勢科技將這次的攻擊行為命名為SafeNet�,它的目標對象是使用帶有惡意附件的釣魚郵件的用戶。該公司的研究人員調查了這次操作�,并于周五在一份研究報告中公布了自己的發(fā)現(xiàn)���。
這一調查發(fā)現(xiàn)了兩套C&C服務器����,它們指示著兩個單獨的SafeNet攻擊行動,雖然目標不同���,但卻是用相同的惡意軟件��。
其中一場攻擊是使用帶有西藏和蒙古內容的釣魚郵件���。這些郵件帶有.doc附件���,利用的是微軟Word軟件的漏洞,該漏洞微軟在2012年4月出了補丁�。
從這場攻擊的C&C服務器所收集的訪問日志發(fā)現(xiàn)����,共有來自11個國家的243個IP地址����。但是,研究者在調查過程中發(fā)現(xiàn)僅有三位受害者還有活動跡象,其IP地址來自蒙古共和國和蘇丹��。
據(jù)研究者透露���,第二場攻擊行動的C&C服務器則記錄了116個國家的11563個IP地址,不過真正受害用戶的數(shù)量應該遠小于這個數(shù)��。在調查期間,有71位受害者的電腦與這臺C&C服務器溝通����。
第二次攻擊中使用的郵件雖未被識別�����,但是這次攻擊的范圍較第一次的要廣,而且受害者的地理分布比較分散���。排名前五的受害IP在印度,美國�,中國,巴基斯坦�,菲律賓和俄羅斯。
被感染電腦上所安裝的惡意軟件主要用于偷取信息��,但是其功能可通過額外的模塊來增強���。研究者在C&C服務器上發(fā)現(xiàn)了用于特別用途的插件組件�,還發(fā)現(xiàn)了可把IE和Firefox瀏覽器記下的密碼提取出來的現(xiàn)成程序�,以及Windows中遠程桌面協(xié)議憑據(jù)。
“雖然通常都很難確定攻擊者的意圖和身份,但是我們確定了SafeNet攻擊是有目標的����,而且它使用了專業(yè)軟件工程師開發(fā)的惡意軟件,這些工程師或許與中國的地下網(wǎng)絡罪犯有關��,”趨勢科技研究師們在研究報告中寫道���。“攻擊者可能曾在中國比較有名的技術大學學習���,似乎還訪問過一家互聯(lián)網(wǎng)服務公司的源代碼庫。”
這個C&C服務器的操作者是從不同國家的IP地址接入C&C服務器���,但是最常見的是從中國和香港的地址接入,趨勢科技研究者稱�。“我們還看了其VPN和代理工具的使用情況,包括Tor�����,它們主要是用來為攻擊者制造地理位置多變的IP地址���。”
