Windows

Para peneliti mengungkap operasi cyberespionase global baru yang dijuluki Safe

LUAR BIASA! Peneliti di Pasuruan Ciptakan Anti-virus Corona dari Rempah-rempah

LUAR BIASA! Peneliti di Pasuruan Ciptakan Anti-virus Corona dari Rempah-rempah

Daftar Isi:

Anonim

Peneliti keamanan dari Trend Micro telah menemukan operasi cyberpersonase aktif yang sejauh ini mengkompromikan komputer milik kementerian pemerintah, perusahaan teknologi, media, akademis lembaga penelitian dan organisasi nonpemerintah dari lebih dari 100 negara.

Operasi, yang Trend Micro telah menjuluki Safe, menargetkan calon korban menggunakan email phishing tombak dengan lampiran jahat. Peneliti perusahaan telah menyelidiki operasi dan menerbitkan makalah penelitian dengan temuan mereka pada hari Jumat.

Dua taktik terlihat

Investigasi ini menemukan dua set server perintah-dan-kontrol (C & C) yang digunakan untuk apa yang tampaknya menjadi dua Safe terpisah menyerang kampanye yang memiliki target berbeda, tetapi menggunakan malware yang sama.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Satu kampanye menggunakan email phishing tombak dengan konten yang terkait dengan Tibet dan Mongolia. Email ini memiliki lampiran.doc yang mengeksploitasi kerentanan Microsoft Word yang ditambal oleh Microsoft pada April 2012.

Log akses yang dikumpulkan dari server C & C kampanye ini mengungkapkan total 243 alamat IP korban (Internet Protocol) unik dari 11 negara yang berbeda. Namun, para peneliti menemukan hanya tiga korban yang masih aktif pada saat penyelidikan mereka, dengan alamat IP dari Mongolia dan Sudan Selatan.

Server C & C yang terkait dengan kampanye serangan kedua mencatat 11.563 alamat IP korban unik dari 116 negara yang berbeda., tetapi jumlah korban yang sebenarnya kemungkinan akan jauh lebih rendah, kata para peneliti. Rata-rata, 71 korban secara aktif berkomunikasi dengan set server C & C ini pada waktu tertentu selama penyelidikan, kata mereka.

Email serangan yang digunakan dalam kampanye serangan kedua belum diidentifikasi, tetapi kampanye tampaknya lebih besar dalam ruang lingkup dan korban lebih tersebar secara geografis. Lima negara teratas menurut nomor alamat IP korban adalah India, AS, China, Pakistan, Filipina, dan Rusia.

Malware dalam misi

Program jahat yang diinstal pada komputer yang terinfeksi terutama dirancang untuk mencuri informasi, tetapi fungsionalitasnya dapat ditingkatkan dengan modul tambahan. Para peneliti menemukan komponen plug-in tujuan khusus pada server perintah dan kontrol, serta program off-the-shelf yang dapat digunakan untuk mengekstrak kata sandi yang tersimpan dari Internet Explorer dan Mozilla Firefox, serta kredensial Remote Desktop Protocol yang disimpan di Windows.

"Saat menentukan maksud dan identitas penyerang sering tetap sulit untuk memastikan, kami memutuskan bahwa kampanye Aman ditargetkan dan menggunakan malware yang dikembangkan oleh insinyur perangkat lunak profesional yang mungkin terhubung ke cybercriminal underground di China," peneliti Trend Micro mengatakan di koran mereka. "Individu ini belajar di universitas teknik terkemuka di negara yang sama dan tampaknya memiliki akses ke repositori kode sumber layanan Internet perusahaan."

Operator server C & C mengaksesnya dari alamat IP di beberapa negara, tetapi paling sering dari China dan Hong Kong, para peneliti Trend Micro mengatakan. "Kami juga melihat penggunaan VPN dan alat proxy, termasuk Tor, yang berkontribusi terhadap keragaman geografis alamat IP operator."

Artikel diperbarui pada 09:36 PT untuk mencerminkan bahwa Trend Micro telah mengubah nama operasi cyberespionase yang menjadi pokok cerita, dan tautan ke laporan penelitiannya.