Video: Where is cybercrime really coming from? | Caleb Barlow (November 2024)
Een voortdurende cyberspionage-operatie, genaamd Safe, richtte zich op verschillende organisaties in meer dan 100 landen met spear phishing-e-mails, vonden onderzoekers van Trend Micro.
De operatie lijkt gericht te zijn geweest op overheidsinstellingen, technologiebedrijven, media, academische onderzoeksinstellingen en niet-gouvernementele organisaties, Kylie Wilhoit en Nart Villeneuve, twee Trend Micro-bedreigingsonderzoekers, schreven op de Security Intelligence Blog. Trend Micro gelooft dat meer dan 12.000 unieke IP-adressen verspreid over zo'n 120 landen besmet waren met de malware. Gemiddeld 71 communiceerden echter gemiddeld elke dag actief met de C&C servers.
"Het werkelijke aantal slachtoffers is veel minder dan het aantal unieke IP-adressen, " zei Trend Micro in zijn whitepaper, maar weigerde te speculeren over een reëel cijfer.
Veilig vertrouwt op spear phishing
Veilig bestaat uit twee verschillende spear phishing-campagnes die dezelfde malware gebruiken, maar met verschillende command-and-control-infrastructuren, schreven de onderzoekers in de whitepaper. Spear phishing-e-mails van één campagne hadden onderwerpregels die verwijzen naar Tibet of Mongolië. Onderzoekers hebben nog geen gemeenschappelijk thema geïdentificeerd in de onderwerpregels die worden gebruikt voor de tweede campagne, die slachtoffers heeft geëist in India, de VS, Pakistan, China, de Filippijnen, Rusland en Brazilië.
Safe stuurde spear phishing-e-mails naar slachtoffers en misleidde hen tot het openen van een kwaadaardige bijlage die misbruik maakte van een reeds gepatchte Microsoft Office-kwetsbaarheid, volgens Trend Micro. Onderzoekers vonden verschillende kwaadaardige Word-documenten die bij het openen stilletjes een payload op de computer van het slachtoffer installeerden. Het beveiligingslek met betrekking tot het uitvoeren van externe code in Windows Common Controls is in april 2012 hersteld.
Details van de C&C infrastructuur
In de eerste campagne waren computers van 243 unieke IP-adressen in 11 verschillende landen verbonden met de C&C server. In de tweede campagne communiceerden computers van 11.563 IP-adressen uit 116 verschillende landen met de C&C server. India leek het meest doelgericht te zijn, met meer dan 4.000 geïnfecteerde IP-adressen.
Een van de C & C-servers was zo ingesteld dat iedereen de inhoud van de mappen kon bekijken. Hierdoor konden onderzoekers van Trend Micro bepalen wie de slachtoffers waren en ook bestanden downloaden met de broncode achter de C&C-server en de malware. Kijkend naar de code van de C&C server, lijkt het erop dat de exploitanten legitieme broncode van een internetprovider in China hebben hergebruikt, aldus Trend Micro.
De aanvallers maakten verbinding met de C&C server via VPN en gebruikten het Tor-netwerk, waardoor het moeilijk was om te achterhalen waar de aanvallers zich bevinden. "De geografische diversiteit van de proxy-servers en VPN's maakte het moeilijk om hun ware oorsprong te bepalen, " zei Trend Micro.
Aanvallers hebben mogelijk Chinese malware gebruikt
Op basis van enkele aanwijzingen in de broncode zei Trend Micro dat de malware mogelijk in China is ontwikkeld. Het is op dit moment niet bekend of de Safe-operators de malware hebben ontwikkeld of van iemand anders hebben gekocht.
"Hoewel het bepalen van de intentie en identiteit van de aanvallers moeilijk blijft, hebben we vastgesteld dat deze campagne gericht is en malware gebruikt die is ontwikkeld door een professionele software-ingenieur die mogelijk is verbonden met de cybercriminele underground in China, " schreven de onderzoekers op de blog.
