又有一起APT進階持續性威脅(Advanced Persistent Threats, APT)(註)
上禮拜所報導的Adobe Reader零時差漏洞(CVE-2011-2462)已經被用在從11月開始的目標攻擊。惡意PDF檔案經由電子郵件發送給目標,而郵件內文還會引誘目標去打開看似員工滿意度調查的惡意附件檔。一旦開啟之後,惡意軟體BKDR_SYKIPOT.B就會被安裝到目標的電腦上。已知的受害目標包括美國國防工業和政府部門。
APT 進階性持續威脅:目標攻擊常用媒介之給員工的信件
目標攻擊通常是有組織有計劃的攻擊行動。這攻擊行動是從對各個目標做一連串攻擊開始,然後持續一段時間,並不是各自獨立的「破壞搶奪」攻擊。雖然每個單一事件的資料可能都不完整,但時間久了,我們也就能把每塊拼圖給組合起來(攻擊媒介、惡意軟體、工具、基礎網路架構、目標),就會對一次的攻擊行動有了全盤的了解。
Sykipot攻擊行動在這幾年來已經有了許多名稱,它的歷史可以被追溯到2007年,甚至是2006年。
一次跟這次類似的攻擊發生在2011年9月,它利用美國政府醫療給付文件做誘餌。而這次攻擊利用了Adobe Reader的零時差漏洞(CVE-2010-2883)。在2010年3月,則是利用Internet Explorer 6的零時差漏洞。所以在過去兩年內就用了三次零時差攻擊。
其他的攻擊還發生在2009年9月,利用漏洞CVE-2009–3957加上跟國防會議有關的資料,和使用一個著名的智囊團身份當做誘餌。在2009年8月,另外一次針對政府員工的攻擊用應急應變管理的劇情跟聯邦緊急事務管理總署(Federal Emergency Management Agency,FEMA)的身分當做誘餌。而這次攻擊裡所使用的命令和控制(Command and Control,C&C)伺服器也被用在2008年的攻擊裡。
最後,則是發生在2007年2月的攻擊,它利用惡意Microsoft Excel檔案漏洞(CVE-2007-0671)來植入惡意軟體,這惡意軟體的功能跟BKDR_SYKIPOT.B很像,所以也很有可能是它的前身。而這次攻擊中所使用的C&C伺服器的歷史則可以追溯到2006年。 繼續閱讀