Відео: Щенячий патруль НОВЫЕ СЕРИИ игра мультик для детей про щенков Paw Patrol Детский летсплей #ММ (Листопад 2024)
Продовжувана операція з кібершпионажу, яка отримала назву "Безпечна", націлила різні організації на понад 100 країн із електронною поштою зі списом фішингу.
Здається, що ця операція націлена на державні установи, технологічні фірми, засоби масової інформації, академічні науково-дослідні установи та неурядові організації, Кайлі Вілхойт та Нарт Вілньов, два дослідники загрози Trend Micro, написали у блозі Security Intelligence Blog. Trend Micro вважає, що понад 12 000 унікальних IP-адрес, що поширюються на 120 або більше країн, були заражені шкідливим програмним забезпеченням. Однак лише 71 IP-адреса, в середньому, активно спілкувався із серверами C&C щодня.
"Фактична кількість жертв набагато менша, ніж кількість унікальних IP-адрес", - сказала Trend Micro у своїй газеті, але відмовилася спекулювати на фактичній цифрі.
Безпечно покладається на фішинг
Безпечний складається з двох чітких фішингових кампаній, використовуючи той самий шлейф шкідливого програмного забезпечення, але використовуючи різні інфраструктури управління і контролю, пишуть дослідники у Білій книзі. Електронні листи електронної пошти підписів однієї кампанії мали рядки тематики, що стосуються Тибету чи Монголії. Дослідники ще не визначили загальної теми в тематичних рядках, що використовуються для другої кампанії, яка заявляла про жертви в Індії, США, Пакистані, Китаї, Філіппінах, Росії та Бразилії.
Безпечний надсилав жертвам фішинг-листи зі списами та вводив їх у відкриття зловмисного вкладеного файлу, який використовував уже виправлену вразливість Microsoft Office, повідомляє Trend Micro. Дослідники знайшли кілька шкідливих документів Word, які, відкриваючись, мовчки встановлювали корисний вантаж на комп’ютер жертви. У квітні 2012 року було виправлено вразливість віддаленого виконання коду у Windows Common Controls.
Деталі інфраструктури C&C
У першій кампанії до сервера C&C підключені комп'ютери з 243 унікальних IP-адрес у 11 різних країнах. У другій кампанії комп'ютери з 11 563 IP-адрес із 116 різних країн спілкувались із сервером C&C. Індія виявилася найбільш орієнтованою, з більш ніж 4000 зараженими IP-адресами.
Один із серверів C&C був налаштований так, щоб кожен міг переглядати вміст каталогів. У результаті дослідники Trend Micro змогли визначити, хто такі жертви, а також завантажити файли, що містять вихідний код за сервером C&C та шкідливим програмним забезпеченням. З огляду на код сервера C&C, схоже, що оператори переосмислили законний вихідний код від постачальника послуг Інтернету в Китаї, повідомила Trend Micro.
Зловмисники підключалися до сервера C&C через VPN та використовували мережу Tor, що ускладнювало простеження, де розташовані зловмисники. "Географічне різноманіття проксі-серверів та VPN ускладнило визначення їх справжнього походження", - зазначив Trend Micro.
Зловмисники можуть використовувати китайські зловмисні програми
На підставі деяких підказок у вихідному коді, Trend Micro заявив, що можливо, шкідливі програми були розроблені в Китаї. На даний момент невідомо, чи безпечні оператори розробляли шкідливе програмне забезпечення або купували його у когось іншого.
"Незважаючи на те, що визначити умисел та особу зловмисників залишається складним, ми оцінили, що ця кампанія є націленою та використовує зловмисне програмне забезпечення, розроблене професійним інженером програмного забезпечення, який може бути пов'язаний з кіберзлочинцем у Китаї", - написали дослідники у своєму блозі.