Studie čínských hackerů je zahalena jako phishingová návnada

Útočníci používají falešné verze nedávno zveřejněné zprávy o čínské cyberespionage skupině jako návnada v nových útočných phishingových útokech zaměřených na japonské a čínské uživatele. uveřejnil v úterý bezpečnostní firma Mandiant a podrobně dokumentuje cyberespionage kampaně prováděné od roku 2006 hackerskou skupinou známé jako Comment Crew proti více než 100 společnostem a organizacím z různých odvětví.

Mandiant označuje skupinu jako APT1 (Advanced Persistent Hrozba 1) a tvrdí ve zprávě, že je to pravděpodobně tajná kybešpionážní jednotka čínské armády v Šanghaji - lidová osvobozenecká armáda (PLA) - nazvaná "jednotka 61398".

Další informace: Jak odstranit malware z počítače se systémem Windows]

Čínská vláda zamítla nároky Mandiant jako bezdůvodné. Zpráva však obdržela hodně pozornosti lidí z oblasti bezpečnosti IT i od široké veřejnosti.

Zdá se, že tato publicita vedla k útočníkům, kteří se rozhodli použít zprávu jako návnadu pro nové cílené útoky.

Malware maškarády jako zpráva Mandiant

Minulý týden byly objeveny dva různé útoky proti kopírování pomocí e-mailů se zlými přílohami, které se maskovaly jako zpráva Mandiantu, říká Aviv Raff, hlavní technický pracovník bezpečnostní firmy Seculert. útok cílené japonštiny-mluvící uživatelé a zapojené e-maily s přílohou Mandiant.pdf. Tento soubor PDF zneužívá zranitelnost v aplikaci Adobe Reader, která byla aktualizována společností Adobe v nouzové aktualizaci ve středu, uvedli odborníci z oblasti bezpečnosti na blogu.

Malware nainstalovaný exploitem se připojuje k serveru příkazů a ovládacích prvků, který je hostitelem Ale i kontakty s některými japonskými webovými stránkami, pravděpodobně v pokusu o potlačení bezpečnostních produktů, uvedli výzkumníci společnosti Seculert.

Společnost Symantec také detekovala a analyzovala útok phishing na oštěp. "E-mail se domnívá, že pochází od někoho z médií, který doporučuje zprávu," řekl výzkumník společnosti Symantec Joji Hamada na blogu. Pro japonskou osobu by však bylo jasné, že e-mail nebyl napsán rodným japonským mluvčím.

Hamada poukázal na to, že podobná taktika byla použita v minulosti. V jednom incidentu v roce 2011 hackeři použili výzkumný dokument o cílených útokech, které společnost Symantec publikovala jako návnadu. "Udělali to spamováním cílů se skutečným bílým papírem spolu s malware skrytým v archivním přílohě," řekl Hamada.

Využívá starou chybu Adobe

Druhý špionážní kopírování útoku detekoval cílové čínské mluvící uživatele a používá škodlivý Příloha nazvaná "Mandiant_APT2_Report.pdf".

Podle analýzy souboru PDF od výzkumného pracovníka Brandona Dixona z bezpečnostní poradenské firmy 9b + dokument využívá starší zranitelnost aplikace Adobe Reader, která byla objevena a zpoplatněna v roce 2011.

Malware instalovaný v systému vytváří spojení s doménou, která momentálně směřuje na server v Číně, řekl Dixon e-mailem. "Malware poskytuje útočníkům možnost provádět příkazy na systému oběti."

Jméno domény, které tento malware kontaktoval, bylo také použito v minulosti při útoku na tibetské aktivisty, řekl Raff Seculert. Tyto starší útoky nainštalovaly jak malware Windows, tak Mac OS X.

Greg Walton, výzkumník z MalwareLab, bezpečnostní výstroj, který sleduje politicky motivované útoky škodlivého softwaru, řekl na Twitteru, že útok Mandiant-the-Phishing zaměřený na novináře je zaměřen na novináře v Číně. Tyto informace nemohly potvrdit Raff nebo Dixon, kteří říkali, že nemají kopie původních nevyžádaných e-mailů, ale pouze jejich nebezpečnou přílohu.