《APT 攻擊》針對敘利亞政府的目標攻擊

APT在2012年上半年,我們看到有目標攻擊利用敘利亞衝突,還有遠端存取木馬(RAT) DarkComet是如何被使用,這些被記錄在下列的文章內:

之後,Anonymous集團的OpSyria或稱Operation Syria(針對敘利亞政府)最近洩露了來自敘利亞外交部(MoFA)的文件,起源是帶有惡意PDF檔案的電子郵件。這個電子郵件是在去年 – 二〇一一年十二月五日所發送。   趨勢科技進一步的調查發現這針對性電子郵件攻擊一直持續到二〇一二年三月(甚至更久),就如下圖所示。一份送到{BLOCKED}n@mofa.gov.sy,另一份被送到{BLOCKED}k@mofa.gov.sy,這兩封的寄件者都是{BLOCKED}bi@mofa.gov.sy。    

 

信件內容翻譯如下:

在這代號辦公室裡的同事們 請告知我們編號23號電報的收件者 感謝 大使館/阿布扎比   請打開或下載附加檔案。 祝好!

雖然先前有報告指出寄件者IP – {BLOCKED}.{BLOCKED}.57.166是在韓國,我們所看到的寄件者IP來自不同的地方,其中一個是{BLOCKED}.{BLOCKED}.151.233,設在日本東京。     此外,查詢了在趨勢科技資料庫中類似的攻擊後,用這案例裡的命令和控制(C&C)伺服器網域名稱作參考,我們還看到這封針對性電子郵件在二〇一二年六月五日用主旨「Defense and Security 2012.doc」寄送給美國政府高層單位。我們已經提醒了相關的美國政府單位。     而這封電子郵件的標題如下,寄件者IP – {BLOCKED}.84.148也同樣可追溯到日本。       雖然這裡所用的假寄件者地址在模仿正式電子郵件上有點失敗(像是用Yahoo信箱偽裝為正式電子郵件地址)。但上面所出現的所有電子郵件樣本中,不管載體為何,都有相同的惡意軟體行為。在KAV的報告中,針對敘利亞的攻擊活動的載體是帶有漏洞攻擊碼的PDF檔案。有些郵件則是利用從右至左覆蓋(RTLO)的伎倆來將檔案名稱xxx.fdp.scr顯示成xxx.rcs.pdf(xxx可以是任意檔名)。送到美國政府的電子郵件利用一個RTF漏洞 – CVE-2010-3333。所有的樣本都會產生被我們偵測為BKDR_QUARIAN.SM的惡意軟體,並且會透過端口443來連到C&C伺服器 – {BLOCKED}reddy1.dns05.com進行通訊。   BKDR_QUARIAN.SM會執行類似 – 從C&C伺服器下載檔案、竊取特定資料和刪除檔案等等指令。 趨勢科技主動式雲端截毒服務  Smart Protection Network可以保護使用者免於此威脅。在受影響系統上偵測並刪除BKDR_QUARIAN.SM,同時也會攔截相關電子郵件,以及封鎖對C&C伺服器的連線。 使用者還是必須要小心所收到的電子郵件。由於電子郵件是企業內部溝通常見的管道,員工在打開和下載附加檔案前都要特別小心。就跟這起事件一樣,攻擊者可以偽造電子郵件地址,假冒政府部門或權威人物。想要了解更多關於電子郵件在目標攻擊中所扮演的角色,可以參考 – 「掩護潛入 電子郵件在APT進階持續性威脅攻擊裡所扮演的角色」。   @原文出處:QUARIAN Attacks Expand Their Targets作者:Ivan Macalintal(威脅研究經理) ◎延伸閱讀 《APT 攻擊》退信和讀取回條自動回覆的風險 休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?! 什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)? 進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位 《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰 APT 進階持續性滲透攻擊研究報告10個懶人包 <APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動   @原文出處:Multiple Zero-Day POC Exploits Threaten Oracle MySQL Server作者:Pavithra Hanchagaiah(資深安全研究員) 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 APT 攻擊

◎即刻加入趨勢科技社群網站,精彩不漏網