|
Компанията за информационна и интернет защита TrendMicro публикува резултатите от разследване на широкомащабна APT-кампания (от англ.: "сложна устойчива заплаха". 
Основният вектор на атаката е посредством изпращането на фишинг имейл, в който се е съдържал Microsoft Word документ като прикачен файл. Авторите на атаката са използвали известна уязвимост в програмата - CVE-2012-0158, която засяга необновен с последните ъпдейти версии на Microsoft Word. Отваряйки документа, на компютъра на жертвата незабелязано се инсталира малуер като авторите са успели да разгледат по-подробно атака насочена към тибетски активисти.
Благодарение на файловете, които попадат на компрометираната система, вследствие на отварянето на документа, операторът на командния сървър може да вземе контрол над компютъра на жертвата и да открадне информация. Освен това, ако системата за контрол на потребителския акаунт (User Account Control, UAC) е активирана, то се инжектира динамична библиотека - SafeExt.dll - в explorer.exe. Ако UAC е неактивен файлът се маскира като BHO-обект и създава директория %Program Files%Internet ExplorerSafeNet. След като веднъж системата е компрометирана, тя се свързва с командните сървъри, което пък води до свалянето и инсталирането на допълнителен малуер в системата. Благодарение на допълнителни инструменти (напълно легален софтуер), които биват инсталирани на компютъра на жертвата, управляващия атаката може да извлече пароли от Internet Explorer или Mozilla Firefox или всички запазени пълномощни от протокола на системата за отдалечено управление Remote Desktop.
Специалистите от TrendMicro са открили наличието на две групи командни сървъри, които използват въпросният малуер. Първата група имат домейн имена, в които присъства думата mongol (mongolbaatar.us и mongolbaatarsonin.in) и друга, чиито домейнови имена на сървърите не притежават общ белег.
Благодарение на логовете на сървърите и списък на адресите, с които се свързват системите публикуван онлайн, разработчиците успяват да идентифицират 243 уникални IP адреси от 11 държави от първата група сървъри. От логовете на втората група сървъри - 11 563 адреса от 116 държави.
Отговорни за атаката
Авторите на доклада Нарт Вилньов и Карл Уилхоит, споделят, че специалистите са успели да научат достатъчно за автора на използвания малуер, след анализа на пробата, като установяват, че той е вероятно умел софтуерен инженер получил университетско образование в Китай. Авторите на изследването споделят, че създателят на Safe е качил малуера в сайтове за споделяне на компютърен код, а използването на "bot" в описанието на програмата дава основание да смятат, че той е свързан с подземни криминални структури. Кои са обаче управляващите сървърите и откъде идват атаките, разработчиците отбелязват, че това не може да се каже с точност поради спецификата на атаката, използването на VPN-и, прокси сървъри и допълнителни инструменти за скриване на местоположението като Tor. IP-тата на първата група сървъри водят към Китай, САЩ и Хонг Конг, а втората - Южна Корея, Китай, Хонг Конг, САЩ, Тайван и Румъния. |
|
