《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

趨勢科技最近報導過的一樣,我們又看到另一起目標攻擊,攻擊者會利用親西藏言論做為社交工程陷阱( Social Engineering)誘餌來入侵目標的電腦。而且這一次也一樣地同時針對Windows和Mac系統。

攻擊是從下列電子郵件開始:

 

使用者點入電子郵件中所包含的連結會被導到一個網站,它會透過程式碼來判斷訪客是使用 Windows或Mac系統。

這個網站目前無法連上,但我們還是想辦法從Google快取中找到程式碼:

《APT 攻擊/MAC 威脅》另一起和西藏相關的攻擊活動針對Windows和Mac系統

這個腳本會載入一個Java程式來攻擊漏洞CVE-2011-3544,這是一個Java Runtime Environment元件不明的漏洞。這個Java程式已經被偵測為JAVA_RHINO.AE。一旦它攻擊成功就會安裝SASFIS後門程式(BKDR_SASFIS.EVL)到Windows作業系統,或是OLYX後門程式(OSX_OLYX.EVL)到Mac OSX作業系統。

這兩個後門程式都連回到同一個C&C伺服器。而且,這兩個後門程式都可以上傳和下載檔案,和瀏覽中毒電腦上的檔案和資料夾,可以讓他們做出進一步的攻擊或是竊取資料。

 

這讓我想起微軟的朋友所寫的關於OLYX的部落格文章,裡面指出這個後門程式的程式碼和Gh0St遠端存取木馬的程式碼很相似。這個程式碼是針對非政府組織像是親西藏組織的APT 攻擊(進階持續性滲透攻擊Advanced Persistent Threat, APT)所愛用的後門程式之一。

 

另外值得一提的是,趨勢科技也發現這被用在最近Gh0st遠端存取木馬攻擊和針對Mac OSX使用者的目標攻擊的命令與控制伺服器,跟我們最近在部落格上提到的是同一個。

 

使用者不用擔心JAVA_RHINO.AE,因為趨勢科技產品已經可以偵測並移除這支惡意軟體。另外, 趨勢科技 Deep Security使用者可以更新規則1004867 – Oracle Java SE Rhino Script Engine Remote Code Execution Vulnerability (Oracle Java SE Rhino腳本引擎遠端程式碼執行漏洞)來從網路層防護這個攻擊。

我們會繼續觀察這攻擊事件的發展,如果有更多發現會持續地更新。請注意這件事的後續發展。

@原文出處:Another Tibetan-Themed Malware Email Campaign Targeting Windows and Macs作者:Ivan Macalintal (威脅研究經理)

 

 

@延伸閱讀

 

趨勢科技的Smart Surfing for Mac可以封鎖惡意網址連結,並定期掃描Mac上的惡意軟體來偵測並清除病毒和間諜軟體–>即刻下載試用

*中文版即將上市,敬請鎖定趨勢科技粉絲頁相關訊息公告。

 

@延伸閱讀

近年惡名昭彰的Mac威脅
時代變了 Mac使用者現在也會遭受目標攻擊
如何打擊假防毒軟體來保護你的Mac
搜尋 Google圖片竟被導入惡意網頁, Mac 用戶也受駭
假防毒軟體在 Mac OS X 作業系統上的感染過程
利用 iOS 漏洞的 iPhone 線上破解

◎ 歡迎加入趨勢科技社群網站