每當有名人的訊息,像是惠尼休斯頓的死訊出現在新聞上,我們就會看到Black SEO黑帽搜尋引擎優化(BlackHat SEO)攻擊或其他網路犯罪活動利用這些消息來散佈惡意軟體。但最近有個目標攻擊吸引了我們的注意。這次被用來當做誘餌的是林書豪,NBA的明星,他在紐約尼克隊的出色表現引起了國際的關注。他最近出現在時代雜誌的封面上,標題就是簡單的「Linsanity(林來瘋)」。
一個被趨勢科技偵測為TROJ_ARTIEF.LN,檔名為「The incredible story of Jeremy Lin the NBA new superstar.doc(NBA超級新星林書豪令人難以相信的故事)」的惡意文件開始蔓延。它利用微軟Office的一個漏洞(CVE-2010-3333)將惡意軟體放入目標的電腦上。這個惡意軟體被趨勢科技偵測為BKDR_MECIV.LN。一旦弱點攻擊成功,就會打開一份乾淨的文件,好讓目標不去懷疑有任何惡意行為的發生。趨勢科技表示近年APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)越來越頻繁。當目標收到一封電子郵件,誘導受害目標打開附加檔案。這個攻擊者所附加的檔案包含了惡意程式碼,可以去攻擊常用軟體的漏洞。攻擊者在惡意軟體裡嵌入了一個獨特的識別特徵以供監視,這樣就可以讓攻擊者獲得電腦的控制權,並且取得資料。攻擊者可能會接著去入侵目標所處的整個網路,而且通常可以保持長時間的控制受害者的電腦。最終,攻擊者會找到並且取得受害者所處的網路內部的敏感資料。
這次攻擊事實上是趨勢科技去年所報告入侵了61個國家1465台電腦,包含外交等單位的LURID攻擊活動(通常也被稱為Enfal)的一部分。它的受害者主要出現在東歐和中亞。而林來瘋攻擊則持續了這一攻勢。
趨勢科技解譯了被送回殭屍網路/傀儡網路 Botnet指揮和控制伺服器的資訊:
[host name]:[mac address]
[ip address]
windows xp
1252:0409
tt
tb0216
n
n
n
2.14
這個資訊包含了主機名稱、MAC地址和受害者的IP地址,還有作業系統跟語系設定。此外它還包含了攻擊代碼「tb0216」,好讓攻擊者可以追蹤他們的攻擊活動。在這次的案例中,攻擊代碼包括了攻擊日期「0216」和「tb」。
和趨勢科技對LURID攻擊的報告所指出的一樣,這次攻擊還針對了前蘇聯的國家。在2012年2月8日,趨勢科技發現了另一起攻擊針對東歐的政府辦公室。
