《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 每當有名人的訊息,像是惠尼休斯頓的死訊出現在新聞上,我們就會看到Black SEO黑帽搜尋引擎優化(BlackHat SEO)攻擊或其他網路犯罪活動利用這些消息來散佈惡意軟體。但最近有個目標攻擊吸引了我們的注意。這次被用來當做誘餌的是林書豪,NBA的明星,他在紐約尼克隊的出色表現引起了國際的關注。他最近出現在時代雜誌的封面上,標題就是簡單的「Linsanity(林來瘋)」。

 一個被趨勢科技偵測為TROJ_ARTIEF.LN,檔名為「The incredible story of Jeremy Lin the NBA new superstar.doc(NBA超級新星林書豪令人難以相信的故事)」的惡意文件開始蔓延。它利用微軟Office的一個漏洞(CVE-2010-3333)將惡意軟體放入目標的電腦上。這個惡意軟體被趨勢科技偵測為BKDR_MECIV.LN。一旦弱點攻擊成功,就會打開一份乾淨的文件,好讓目標不去懷疑有任何惡意行為的發生。趨勢科技表示近年APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)越來越頻繁。當目標收到一封電子郵件,誘導受害目標打開附加檔案。這個攻擊者所附加的檔案包含了惡意程式碼,可以去攻擊常用軟體的漏洞。攻擊者在惡意軟體裡嵌入了一個獨特的識別特徵以供監視,這樣就可以讓攻擊者獲得電腦的控制權,並且取得資料。攻擊者可能會接著去入侵目標所處的整個網路,而且通常可以保持長時間的控制受害者的電腦。最終,攻擊者會找到並且取得受害者所處的網路內部的敏感資料。

 

 

病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 

這次攻擊事實上是趨勢科技去年所報告入侵了61個國家1465台電腦,包含外交等單位LURID攻擊活動(通常也被稱為Enfal)的一部分。它的受害者主要出現在東歐和中亞。而林來瘋攻擊則持續了這一攻勢。

趨勢科技解譯了被送回殭屍網路/傀儡網路 Botnet指揮和控制伺服器的資訊:

 

[host name]:[mac address]

[ip address]

windows xp

1252:0409

tt

tb0216

n

n

n

2.14

 

這個資訊包含了主機名稱、MAC地址和受害者的IP地址,還有作業系統跟語系設定。此外它還包含了攻擊代碼「tb0216」,好讓攻擊者可以追蹤他們的攻擊活動。在這次的案例中,攻擊代碼包括了攻擊日期「0216」和「tb」。

 

趨勢科技對LURID攻擊的報告所指出的一樣,這次攻擊還針對了前蘇聯的國家。在2012年2月8日,趨勢科技發現了另一起攻擊針對東歐的政府辦公室。

 

病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

 

 

這個附件檔被趨勢科技偵測為TROJ_ARTIEF.LN,利用微軟Office的漏洞(CVE-2010-3333)來將惡意軟體放入目標的電腦上。這個惡意軟體被偵測為BKDR_MECIV.LN。一旦弱點攻擊成功之後,會打開一份乾淨的文件。電子郵件和乾淨的文件檔包含了由政府間組織所舉辦的會議資訊。

 

以下是趨勢科技解譯了傳回指揮和控制伺服器的資訊:

 

[host name]:[mac address]

[ip address]

windows xp

1252:0409

svchsot.exe

0dayfeb03.exe

n

n

n

2.14

 

被嵌在這次攻擊的代碼是0dayfeb-3.exe,帶有日期(2012年2月3日),也就是目標攻擊電子郵件寄送出來的幾天前。儘管提到了「0day」,但這次攻擊所使用的漏洞是已經很久但還是很有效的CVE-2010-3333。

 

這些攻擊事件證明了廣為人知的攻擊活動還是會長時間地繼續運行下去。這些攻擊的幕後黑手會利用相同惡意軟體的變種來不斷地對目標發動新的攻擊。攻擊者會持續利用新聞事件來誘騙受害者執行惡意的電子郵件附件檔。

 

趨勢科技正在監看這次的攻擊活動,一旦有更多消息就會更新到這篇部落格。

 

@原文出處:Linsanity Leads to Targeted Malware Attacks作者:Nart Villeneuve(資深威脅研究員)

 

【如何避免APT 進階性持續威脅攻擊?】

趨勢科技建議民眾應:

· 養成良好的電腦使用習慣,避免開啟來路不明的郵件附件檔

· 安裝具有信譽的資訊安全軟體,並定期進行系統更新與掃毒

另一方面,為預防員工成為駭客攻擊企業內部的跳板,建議企業也應:

· 建立早期預警系統,監控可疑連線及電腦

· 佈建多層次的資安防禦機制,以達到縱深防禦效果

· 對企業內部敏感資料建立監控與存取政策

· 企業內部應定期執行社交工程攻擊演練

趨勢科技PC-cillin 2012雲端版採用最新雲端截毒掃描功能,能隨時蒐集最新威脅資訊,隨時協助電腦於最新最佳防護病毒與惡意程式的狀態,30天免費試用版下載,即刻免費下載

@延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

PC-cillin 2012雲端版自動掃描 facebook 塗鴉牆,紅色標示危險網址,綠色標示安全網址,即刻試用寫100字心得,有機會獲得防毒軟體及粉絲專屬好禮

免費下載防毒軟體
 
◎ 歡迎加入趨勢科技社群網站