Video: The $1,000,000,000 North Korean Bank Heist (Oktober 2024)
En igangværende cyber-spionage-operation, kaldet Safe, målrettede forskellige organisationer i mere end 100 lande med spyd phishing-e-mails, fandt Trend Micro-forskere.
Operationen ser ud til at have målrettet regeringsagenturer, teknologivirksomheder, medier, akademiske forskningsinstitutioner og ikke-statslige organisationer, Kylie Wilhoit og Nart Villeneuve, to Trend Micro-trusselforskere, skrev på Security Intelligence Blog. Trend Micro mener, at over 12.000 unikke IP-adresser fordelt på 120 eller så lande blev inficeret med malware. Imidlertid kommunikerede kun 71 IP-adresser gennemsnitligt aktivt med C & C-serverne hver dag.
"Det faktiske antal ofre er langt mindre end antallet af unikke IP-adresser, " sagde Trend Micro i sin hvidbog, men afslog at spekulere i et faktisk tal.
Sikker afhængighed af spyd phishing
Safe består af to forskellige spyd phishing-kampagner, der bruger den samme stamme af malware, men ved hjælp af forskellige kommando- og kontrolinfrastrukturer, skrev forskerne i hvidbogen. Én kampagnes spyd phishing-e-mails havde emnelinjer, der refererer til enten Tibet eller Mongoliet. Forskere har endnu ikke identificeret et fælles tema i de emnelinjer, der blev brugt til den anden kampagne, der har gjort krav på ofre i Indien, USA, Pakistan, Kina, Filippinerne, Rusland og Brasilien.
Safe sendte spyd phishing-e-mails til ofre og narrede dem til at åbne en ondsindet vedhæftet fil, der udnyttede en allerede opdateret Microsoft Office-sårbarhed, ifølge Trend Micro. Forskere fandt flere ondsindede Word-dokumenter, som, når de blev åbnet, lydløst installerede en nyttelast på offerets computer. Sårbarheden ved udførelse af fjernkode i Windows Common Controls blev opdateret i april 2012.
Detaljer om C & C-infrastruktur
I den første kampagne er computere fra 243 unikke IP-adresser i 11 forskellige lande forbundet til C & C-serveren. I den anden kampagne kommunikerede computere fra 11.563 IP-adresser fra 116 forskellige lande med C & C-serveren. Indien syntes at være det mest målrettede med over 4.000 inficerede IP-adresser.
En af C & C-servere blev konfigureret, så enhver kunne se indholdet af bibliotekerne. Som et resultat kunne Trend Micro-forskere bestemme, hvem ofrene var, og også at downloade filer, der indeholdt kildekoden bag C & C-serveren og malware. Ser man på C & C-serverens kode, ser det ud til, at operatørerne har genanvendt en legitim kildekode fra en internetudbyder i Kina, sagde Trend Micro.
Angriberen sluttede sig til C & C-serveren via VPN og brugte Tor-netværket, hvilket gjorde det vanskeligt at spore, hvor angriberen er baseret. "Den geografiske mangfoldighed af proxyserverne og VPN'erne gjorde det vanskeligt at bestemme deres sande oprindelse, " sagde Trend Micro.
Angribere kan have brugt kinesisk malware
Baseret på nogle spor i kildekoden sagde Trend Micro, at det var muligt, at malware blev udviklet i Kina. Det vides ikke på dette tidspunkt, om Safe-operatørerne udviklede malware eller købte den fra en anden.
"Selv om det stadig er vanskeligt at bestemme angriberen og identiteten af angriberen, vurderede vi, at denne kampagne er målrettet og bruger malware, der er udviklet af en professionel softwareingeniør, der muligvis er forbundet med den cyberkriminelle underjordiske i Kina, " skrev forskerne på bloggen.