Исследователи раскрывают новую глобальную операцию в киберспорте, названную Safe

Исследователи безопасности Trend Micro обнаружили активную операцию в киберспорении, которая до сих пор скомпрометировала компьютеры, принадлежащие правительственным министерствам, технологическим компаниям, средствам массовой информации, академическим исследовательских институтов и неправительственных организаций из более чем 100 стран.

Операция, которую Trend Micro назвала Safe, нацеливает потенциальных жертв на использование фишинговых писем с копьями со злонамеренными вложениями. Исследователи компании исследовали операцию и опубликовали исследовательскую статью с их выводами в пятницу.

Две тактики были замечены

В ходе расследования были обнаружены два набора серверов управления и управления (C & C), используемые для каждых двух отдельных безопасных а также использовать те же самые вредоносные программы.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В одной кампании используются фишинг-письма с копиями, содержащие информацию о Тибете и Монголии. В этих письмах есть вложения.doc, которые используют уязвимость Microsoft Word, исправленную Microsoft в апреле 2012 года.

Журналы доступа, собранные на серверах C & C этой кампании, выявили в общей сложности 243 уникальных адреса IP-адреса жертвы (Internet Protocol) из 11 разных стран. Однако исследователи обнаружили только трех жертв, которые все еще были активны во время их расследования, с IP-адресами из Монголии и Южного Судана.

Серверы C & C, соответствующие второй атаке, зарегистрировали 11 563 уникальных IP-адреса жертвы из 116 разных стран, но фактическое число жертв, вероятно, будет намного ниже, говорят исследователи. Они сказали, что в среднем 71 жертва активно общалась с этим набором серверов C & C в любое время во время расследования.

Адреса атаки, используемые во второй атаке, не были идентифицированы, но кампания, по-видимому, больше в масштабы и жертвы более широко разбросаны по географическому признаку. В число пяти крупнейших стран по количеству IP-адресов жертвы входят Индия, США, Китай, Пакистан, Филиппины и Россия.

Вредоносное ПО на миссии

Вредоносная программа, установленная на зараженных компьютерах, предназначена в первую очередь для кражи информации, но его функциональность может быть дополнена дополнительными модулями. Исследователи обнаружили специальные плагины для компонентов на серверах управления и управления, а также готовые программы, которые можно использовать для извлечения сохраненных паролей из Internet Explorer и Mozilla Firefox, а также учетные данные удаленного рабочего стола, хранящиеся в Windows.

«При определении намерений и идентичности злоумышленников часто остается трудно установить, мы определили, что безопасная кампания нацелена и использует вредоносное ПО, разработанное профессиональным инженером-программистом, который может быть подключен к киберпреступному подполью в Китае», сказали исследователи Trend Micro в своей работе. «Этот человек учился в видном техническом университете в той же стране и, как представляется, имел доступ к репозиторию исходного кода компании интернет-услуг».

Операторы серверов C & C обращались к ним с IP-адресов в нескольких странах, но чаще всего из Китая и Гонконга, сказали Trend Micro. «Мы также увидели использование VPN и прокси-инструментов, в том числе Tor, которые способствовали географическому разнообразию IP-адресов операторов».

Статья обновлена ​​в 9:36 утра PT, чтобы отразить, что Trend Micro изменила название операция кибервизации, которая была предметом истории, и ссылку на ее исследовательский отчет.