跟趨勢科技最近報導過的一樣,我們又看到另一起目標攻擊,攻擊者會利用親西藏言論做為社交工程陷阱( Social Engineering)誘餌來入侵目標的電腦。而且這一次也一樣地同時針對Windows和Mac系統。
攻擊是從下列電子郵件開始:
使用者點入電子郵件中所包含的連結會被導到一個網站,它會透過程式碼來判斷訪客是使用 Windows或Mac系統。
這個網站目前無法連上,但我們還是想辦法從Google快取中找到程式碼:
這個腳本會載入一個Java程式來攻擊漏洞CVE-2011-3544,這是一個Java Runtime Environment元件不明的漏洞。這個Java程式已經被偵測為JAVA_RHINO.AE。一旦它攻擊成功就會安裝SASFIS後門程式(BKDR_SASFIS.EVL)到Windows作業系統,或是OLYX後門程式(OSX_OLYX.EVL)到Mac OSX作業系統。
微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手
作者:趨勢科技資深分析師Rik Ferguson
經過允許使用bixentro的Flickr相片
在提交給法院長達162頁的文件裡,微軟和金融服務與資訊服務分析中心(FS-ISAC) – 一個代表4400個金融機構的經貿團體,還有NACHA – 電子付款協會一起控告了ZeuS、SpyEye和Ice IX殭屍網路/傀儡網路 Botnet背後的犯罪份子。
ZeuS、Ice-IX和SpyEye程式在網路犯罪史上有著漫長而惡名昭著的一席之地,ZeuS從2006年開始出現(2007年被告到法院),它要為數百個殭屍網路/傀儡網路 Botnet以及從消費者和企業的銀行帳戶中被竊取的數百萬英鎊負責。SpyEye原本是ZeuS的競爭對手,甚至當它發現目標電腦上有ZeuS存在,還會去移除它。但最近這兩個程式碼已經被合併成一個單一犯罪軟體了。
根據趨勢科技之前的研究顯示,目標攻擊所產生的後續行為會跟作業系統有關,而最近我們又看到有惡意檔案會以Mac OSX作為目標。這個被偵測為TROJ_MDROPR.LB的惡意軟體是一支木馬,被用在對西藏的目標攻擊活動裡,最初是由Alienvault所提報的。
在調查該活動時,趨勢科技發現被用在這次特定攻擊裡的C&C伺服器,跟最近所看到被用在一系列對西藏目標攻擊裡的Gh0stRat所用的C&C伺服器之一是同一個。
下面是一封包含惡意DOC檔案的電子郵件,它會產生Gh0stRat並且連到上述的C&C伺服器:
再回頭看TROJ_MDROPR.LB,趨勢科技發現關於一個被用在這次攻擊的特定惡意文件的詳細資訊:
其中一個TROJ_MDROPR.LB進行的行為是會產生並打開非惡意的DOC檔案,好欺騙使用者以為自己打開的是一個正常檔案。
