我們在這篇文章首次討論兩名被稱為「Occhionero兄弟」的義大利人被逮捕並指控利用惡意軟體和特製的魚叉式釣魚攻擊(SPEAR PHISHING)來監視知名政治家和企業家。這個案子被稱為「EyePyramid」,名稱來自研究過程所發現的網域名稱和目錄路徑。
義大利通訊社AGI在1月11日中午公開了法庭命令。本文提供更多關於此案例的詳細資訊以對此攻擊活動有更加完整和深入的了解。
分析範圍
趨勢科技已經分析了近250個不同的EyePryramid相關樣本。在我們進行初步分析後,大約有十幾個可疑樣本被上傳到VirusTotal並標記為「#eyepyramid」。我們認為這些樣本是「假標記」,因為這些樣本跟其他樣本不同,無法跟EyePyramid建立肯定的關聯。
被針對的電子郵件帳號
部分樣本顯示出攻擊者將目標放在許多網域的電子郵件帳號。帳號憑證和這些帳號的郵件都被竊取,以下是被鎖定電子郵件帳號的網域:
| 被鎖定的網域 | ||||
| @alice.it @aol.com @att.net @badoo.com @bellsouth.net @bluewin.ch @btinternet.com @comcast.net @cox.net @cyh.com.tr @earthlink.net @eim.ae @email.com @email.it @emirates.net.ae @excite.it @facebook.com @facebookmail.com @fastweb.it @fastwebmail.it @fastwebnet.it @free.fr |
@gmail.com @gmail.it @gmx.de @gmx.net @googlegroups.com @googlemail.com @groupama.it @groups.facebook.com @gvt.net.br @hanmail.net @hinet.net @hotmail.co.uk @hotmail.com @hotmail.fr @hotmail.it @infinito.it @interbusiness.it @interfree.it @inwind.it @iol.it @jazztel.es @jumpy.it |
@katamail.com @laposte.net @legalmail.it @libero.it @live.com @live.it @lycos.com @lycos.it @mac.com @mail.bakeca.it @mail.com @mail.ru @mail.vodafone.it @mail.wind.it @mclink.it @me.com @msn.com @mtnl.net.in @nate.com @netscape.net @netzero.com |
@orange.fr @otenet.gr @poczta.onet.pl @poste.it @proxad.net @rediffmail.com @rocketmail.com @runbox.com @saudi.net.sa @sbcglobal.net @skynet.be @supereva.it @sympatico.ca @t-online.de @tele2.it @verizon.net @virgilio.it @vodafone.com @vodafone.it @vsnl.net.in |
@wanadoo.fr @web.de @yahoo.ca @yahoo.co.in @yahoo.co.jp @yahoo.co.uk @yahoo.com @yahoo.com.ar @yahoo.com.br @yahoo.com.mx @yahoo.de @yahoo.es @yahoo.fr @yahoo.it @yahoogroups.com @ymail.com |
攻擊計畫
這波攻擊有著明顯的攻擊前準備,用意在製作有效的魚叉式釣魚攻擊(SPEAR PHISHING),取得目標的信任。攻擊者從一份電子郵件帳號列表開始 – 來自另外的入侵活動,或是來自用相同惡意軟體的其他案例。這些帳號屬於最終受害者所信任的組織或個人。
利用這些電子郵件帳號當作寄件者,將附加惡意軟體原本的副檔名(.exe)加以變更,攻擊者設法以直接或間接的方式感染重點受害者的電腦。
當在電腦上執行惡意軟體時,它會自動更新自己,竊取符合上述列表的電子郵件帳號相關資訊,並透過HTTP/HTTPS將收集的資訊傳送到資料取回電子郵件地址或C&C伺服器。同時將這些電子郵件帳號加到攻擊者所用的已入侵帳號列表,讓這些帳號可以用來將惡意軟體散播給其他受害者。
