Исследование китайских хакеров болтается как фишинг-приманка

Атакующие используют поддельные версии недавно выпущенного отчета о китайской группе кибербезопасности в качестве приманки в новых атаках на копье-фишинг, которые нацелены на японских и китайских пользователей.

выпущенный во вторник фирмой безопасности Mandiant, и документами, в которых подробно описаны кампании киберпреступности, проведенные с 2006 года группой хакеров, известной как команда комментариев против более 100 компаний и организаций из разных отраслей.

Мандиант относится к группе как APT1 (Advanced Persistent Угроза 1) и утверждает в докладе, что это, скорее всего, секретная киберпреступная единица в Шанхае китайской армии - Народно-освободительной армии (PLA) - под кодовым названием «Unit 61398».

[Дальнейшее чтение: Как удалить вредоносное ПО с вашего ПК с Windows]

Китайское правительство отклонило претензии Мандианта как необоснованные. Тем не менее, отчет получил большое внимание со стороны людей в отрасли ИТ-безопасности, а также от широкой общественности.

Кажется, что эта реклама теперь заставила злоумышленников решить использовать отчет в качестве приманки в новых атаках с таргетингом.

Malware masquerades as Mandiant report

На прошлой неделе были обнаружены две разные атаки на фишинг-копье, в которых использовались электронные письма со вредоносными вложениями, которые были замаскированы как отчет Mandiant, сказал Авис Рафф, главный технический директор охранной фирмы Seculert.

One атака направлена ​​на японцев, говорящих по-английски, и включала электронные письма с приложением под названием Mandiant.pdf. Этот файл PDF использует уязвимость в Adobe Reader, которая была исправлена ​​Adobe в экстренном обновлении в среду, сообщают исследователи безопасности из Seculert в сообщении в блоге.

Вредоносная программа, установленная эксплойтом, подключается к серверу управления и управления, размещенному в Корея, но также и на некоторых японских сайтах, возможно, в попытке обмануть продукты безопасности, сказали исследователи Seculert.

Symantec также обнаружила и проанализировала атаку копья-фишинг. «Письмо должно быть от кого-то из средств массовой информации, рекомендующих отчет», - сказал исследователь из Symantec Джоджи Хамада в блоге. Тем не менее, для японского человека было бы очевидно, что письмо не было написано родным японским оратором, сказал он.

Хамада отметил, что подобная тактика использовалась в прошлом. В одном инциденте еще в 2011 году хакеры использовали исследовательский документ о целевых атаках, опубликованных Symantec в качестве приманки. «Они сделали это, рассылая цели с помощью фактического документа вместе со вредоносными программами, скрытыми в архиве», - сказал Хамада.

Использует старый недостаток Adobe

Вторая атака копьем-фишинг обнаружила цели, говорящие на китайском языке, и использует вредоносные приложение под названием «Mandiant_APT2_Report.pdf.»

Согласно анализу PDF-файла исследователем Брэндоном Диксоном из консалтинговой фирмы по безопасности 9b +, в документе используется более ранняя уязвимость Adobe Reader, обнаруженная и исправленная в 2011 году.

Вредоносная программа установленный в системе, устанавливает соединение с доменом, который в настоящее время указывает на сервер в Китае, сказал Диксон по электронной почте. «Вредоносная программа предоставляет злоумышленникам возможность выполнять команды в системе жертвы».

Доменное имя, с которым связалось это вредоносное ПО, также использовалось в прошлом в результате нападений, направленных на тибетских активистов, сказал Раффе Секулерта. Эти более старые атаки установили как вредоносное ПО Windows, так и Mac OS X.

Грег Уолтон, исследователь из MalwareLab, специалист по безопасности, который отслеживает атаки с использованием политически мотивированных вредоносных программ, сказал в Твиттере, что нападение на фишинг-шпионаж с поддержкой Mandiant нацелило журналистов в Китае. Эта информация не может быть подтверждена Раффом или Диксоном, который сказал, что у них нет копий оригинальных спам-писем, только содержащихся в них вредоносных вложений.