趨勢科技的研究人員發現一起針對多國政府機構的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。攻擊用郵件號稱來自中國國防部,但看起來是來自Gmail 帳號,而且也沒有使用中國名字。
圖一、偽造郵件
這份郵件包含了一個惡意附件檔,它會攻擊Microsoft Office(版本2003到 2010都受到影響)被修補超過一年的一個漏洞(CVE-2012-0158)。這漏洞攻擊碼會將後門程式植入到系統內,好從 IE 瀏覽器和 Microsoft Outlook 內竊取網站和電子郵件帳號的登入資料(它同時也會開啟一個正常的「假」檔案,讓攻擊目標不去懷疑發生了什麼惡意行為)。所有竊取的資料都會被上傳到位於香港的兩個IP地址。
這起APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊事件主要是針對歐洲和亞洲的政府官員。這封郵件被分別送到十六名歐洲國家的政府官員。郵件主旨(和附加文件)都會引起這些目標的興趣。此外,被偷的資料和偷竊來源都一致的指出這是針對使用像IE瀏覽器和Outlook等企業級軟體大型組織的目標攻擊。
不過值得注意的是,中國媒體也遭受到這波APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊。後門程式本身也在現實世界中被偵測到。不過值得注意的是,它最頻繁的是出現在中國和台灣,還有部分侷限地出現在其他亞洲國家。
