目录:
- 安全公司Seculert的首席技术官Aviv Raff称,上周发现两起不同的鱼叉式网络钓鱼攻击,使用含有恶意附件的电子邮件伪装成Mandiant报告。攻击目标日语用户和涉及电子邮件与附件称为Mandiant.pdf。这个PDF文件利用了Adobe在周三的一次紧急更新中修补的Adobe Reader中的一个漏洞,Seculert的安全研究人员在一篇博客文章中称。
- Seculert的拉夫说,过去这种恶意软件所使用的域名在针对西藏活动人士的攻击中也被使用过。他说,这些较早的攻击安装了Windows和Mac OS X恶意软件,MalwareLab的研究人员Greg Walton是一个安全装备,跟踪政治动机的恶意软件攻击,在Twitter上称,以Mandiant为主题的鱼叉式网络钓鱼攻击的目标是记者在中国。 Raff或Dixon无法确认这些信息,他们表示他们没有原始垃圾电子邮件的副本,只有他们所包含的恶意附件的副本。
攻击者正在使用最近发布的有关中国网络间谍组织报告的伪造版本作为针对日本和中国用户的新型鱼叉式网络钓鱼攻击的诱饵。由安全公司Mandiant于周二发布,详细记录了自2006年以来由来自不同行业的100多家公司和组织针对黑客团体进行的网络间谍活动。
Mandiant将该团体称为APT1(Advanced Persistent威胁1),并在报告中称,这可能是中国陆军的一个秘密上海网络部队 - 解放军(PLA) - 编号为“Unit 61398”。
[进一步阅读:如何从您的Windows PC中删除恶意软件]
中国政府已经驳回了Mandiant的说法,并且毫无根据。然而,该报告受到IT安全行业人士以及公众的关注。看来,这种宣传现在已经导致攻击者决定在新的有针对性的攻击中使用该报告作为诱饵。
恶意软件伪装成Mandiant报告
安全公司Seculert的首席技术官Aviv Raff称,上周发现两起不同的鱼叉式网络钓鱼攻击,使用含有恶意附件的电子邮件伪装成Mandiant报告。攻击目标日语用户和涉及电子邮件与附件称为Mandiant.pdf。这个PDF文件利用了Adobe在周三的一次紧急更新中修补的Adobe Reader中的一个漏洞,Seculert的安全研究人员在一篇博客文章中称。
漏洞安装的恶意软件连接到一个托管在其中的命令与控制服务器Seculert的研究人员表示,该公司还与日本的一些网站联系,可能是为了欺骗安全产品。
赛门铁克还检测并分析了鱼叉式网络钓鱼攻击。赛门铁克研究员Joji Hamada在一篇博客文章中称:“电子邮件声称来自媒体推荐人的报道。”然而,对于日本人来说,这封电子邮件并非由日本本土人写的,这是显而易见的。“Hamada指出,过去也采用了类似的策略。在2011年发生的一起事件中,黑客利用赛门铁克发布的有针对性攻击的研究报告作为诱饵。 Hamada说:“他们通过将实际白皮书中的垃圾邮件与隐藏在档案附件中的恶意软件进行垃圾邮件目标做到了这一点。”利用旧的Adobe漏洞
第二次鱼叉式网络钓鱼攻击检测到目标为讲中文的用户并使用恶意软件附件名为“Mandiant_APT2_Report.pdf”。
根据安全咨询公司9b +的研究员Brandon Dixon对PDF文件的分析,该文件利用了2011年发现并修补的较旧的Adobe Reader漏洞。
恶意软件Dixon通过电子邮件说,安装在系统上的服务器与当前指向中国服务器的域建立连接。 “恶意软件为攻击者提供了在受害者系统上执行命令的能力。”