A kínai hackerek tanulmányozása adathalász csalétként ölel

A támadók hamis változatokat használnak a kínai cyberespionage-csoport újonnan kiadott jelentése szerint csaliként új japán és kínai felhasználóknak. amelyet Mandiant biztonsági cég bocsátott ki, és részletesen dokumentálja a 2006 óta működő számítógépes kampányokat, amelyeket egy több mint 100 vállalat és szervezet különböző iparágak ellen a Comment Crew néven ismert.

Mandiant az APT1 (Advanced Persistent Threat 1), és a jelentés szerint azt állítja, hogy valószínűleg a Kínai Hadsereg - a Népi Felszabadítási Hadsereg (PLA) - "61398-as egység" titkos Shanghai-alapú kiberespionációs egysége.

[További információk: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

A kínai kormány elutasította Mandiant állításait mint indoklást. A jelentésben azonban sok figyelmet kapott az informatikai biztonsági iparban dolgozó emberektől, valamint a nagyközönségtől.

Úgy tűnik, ez a nyilvánosság most azt eredményezte, hogy a támadók úgy döntenek, hogy a jelentést új célzott támadásokban csaliként használják.

A rosszindulatú szoftverek Mandiant jelentése szerint

Két különböző lándzsás phishing támadást fedeztek fel a múlt héten olyan rosszindulatú csatolt e-mailek használatával, amelyek Mandiant jelentéseként álcáztak, mondta Securert biztonsági cég vezérigazgatója, Aviv Raff. a támadás a japánul beszélő felhasználókat és a Mandiant.pdf nevű mellékletet tartalmazó e-maileket célozta meg. Ez a PDF fájl kihasználja az Adobe Reader biztonsági rését, amelyet az Adobe frissített egy sürgősségi frissítésben szerdán, a Seculert biztonsági kutatói egy blogbejegyzésben elmondták.

A kizsákmányoló által telepített rosszindulatú program összekapcsolódik egy olyan parancs-és-vezérlő szerverrel, Koreában, de néhány japán weboldalt is kapcsolatba lépett, valószínűleg azzal, hogy megpróbálja becsapni a biztonsági termékeket, mondta a Seculert kutatói.

A Symantec észlelte és elemezte a lándzsás-phishing támadást is. "Az e-mail azt állítja, hogy valaki a médiában ajánlja a jelentést," mondta egy blogbejegyzésben a Symantec kutatója, Joji Hamada. Azonban egy japán személy számára nyilvánvaló lenne, hogy az e-mailt nem egy hazai japán beszélő írták le. Hamada rámutatott arra, hogy hasonló taktikákat használtak a múltban. Egy 2011-es visszaemlékezés során a hackerek kutatói papírt használtak a Symantec csaliként közzétett célzott támadásokról. "Ezt úgy hajtották végre, hogy a célokat a valós fehér könyvvel együtt eltávolították egy archív mellékletben elrejtett rosszindulatú programokkal" - mondta Hamada.

A régi Adobe hibát kihasználja

A második spear-phishing támadás kimutatta a kínai nyelvű felhasználókat, és rosszindulatú a "Mandiant_APT2_Report.pdf" nevű mellékletet.

A Brandon Dixon nevű 9b + biztonsági tanácsadó cég által készített PDF fájl elemzése szerint a dokumentum régebbi, 2011-ben felfedezett és javított Adobe Reader biztonsági rést kihasznál.

telepítve van egy olyan hálózathoz, amely jelenleg egy kínai kiszolgálóra mutat, mondta Dixon e-mailben. "A rosszindulatú program a támadók számára képes végrehajtani a parancsokat az áldozat rendszerén."

A malware által felvetett domain nevet a múltban is használták a tibeti aktivistákat célzó támadásokban, mondta Seculert Raff. Ezek az idősebb támadások telepítették mind a Windows, mind a Mac OS X kártevőket, azt mondta.

Greg Walton, a MalwareLab kutatója, a biztonsági indíttatású biztonsági felszerelés nyomon követése szerint a Mandiant-témájú, Kínában. Ezt az információt Raff vagy Dixon nem erősítette meg, aki azt mondta, hogy nincsenek másolatuk az eredeti spam e-mailekről, csak a benne található rosszindulatú mellékletekről.