Badanie chińskich hakerów zwane jest przynętą phishingową

Atakujący używają fałszywych wersji niedawno opublikowanego raportu o chińskiej grupie cyberprzestępców jako przynęty w nowych atakach typu "spear-phishing" skierowanych do użytkowników japońskich i chińskich.

Raport był wydany we wtorek przez firmę ochroniarską Mandiant i dokumenty szczegółowo opisujące kampanie cyberprzestępców prowadzone od 2006 r. przez grupę hakerów znaną jako The Comment Crew przeciwko ponad 100 firmom i organizacjom z różnych branż.

Mandiant odnosi się do grupy jako APT1 (Advanced Persistent Zagrożenie 1) i twierdzi w raporcie, że to prawdopodobnie tajna jednostka Cyberprzestępczości z Szanghaju chińskiej armii - Kod Ludowej Armii Wyzwolenia (PLA) - o nazwie kodowej "Unit 61398".

[Więcej informacji: Jak usunąć złośliwe oprogramowanie ze swojego komputera z systemem Windows]

Chiński rząd odrzucił twierdzenia Mandianta jako bezpodstawne. Jednak raport spotkał się z dużym zainteresowaniem ludzi z branży bezpieczeństwa IT, a także z opinii publicznej.

Wydaje się, że ta reklama doprowadziła teraz do tego, że osoby atakujące zdecydowały się użyć tego raportu jako przynęty w nowych ukierunkowanych atakach.

Złośliwe oprogramowanie podszywa się pod raport Mandżurów

W zeszłym tygodniu odkryto dwa różne ataki typu "spear phishing", używając wiadomości e-mail zawierających szkodliwe załączniki, które podszywały się pod raport Mandianta, powiedział Aviv Raff, dyrektor ds. Technologii w firmie ochroniarskiej Seculert.

Jeden atakować ukierunkowanych użytkowników mówiących po japońsku oraz e-maile z załącznikiem o nazwie Mandiant.pdf. Ten plik PDF wykorzystuje lukę w programie Adobe Reader, która została załatana przez Adobe w aktualizacji alarmowej w środę, jak twierdzą specjaliści od bezpieczeństwa Seculert w poście na blogu.

Złośliwe oprogramowanie zainstalowane przez exploit łączy się z kontrolowanym serwerem hostowanym w Korea, ale także kontaktuje się z niektórymi japońskimi stronami internetowymi, prawdopodobnie próbując oszukać produkty zabezpieczające, jak stwierdzili naukowcy z firmy Seculert.

Firma Symantec również wykryła i przeanalizowała atak spear phishing. "Wiadomość e-mail ma pochodzić od kogoś z mediów, która rekomenduje raport" - powiedział w poście na blogu badacz z Symantec, Joji Hamada. Jednak dla Japończyka byłoby jasne, że e-mail nie został napisany przez native speakera japońskiego, powiedział.

Hamada zwrócił uwagę, że podobne taktyki były stosowane w przeszłości. W jednym z incydentów z 2011 r. Hakerzy wykorzystali dokument badawczy dotyczący ataków ukierunkowanych opublikowanych przez firmę Symantec jako przynęty. "Zrobili to, wysyłając spam z aktualnym dokumentem oraz złośliwym oprogramowaniem ukrytym w załączniku do archiwum", powiedział Hamada.

Wykorzystuje starą lukę Adobe

Drugi atak typu "phishing" wykrył chińskojęzycznych użytkowników i używa złośliwego oprogramowania załącznik o nazwie "Mandiant_APT2_Report.pdf."

Zgodnie z analizą pliku PDF przeprowadzoną przez badacza Brandona Dixona z firmy doradczej ds. bezpieczeństwa 9b +, dokument wykorzystuje starszą lukę w oprogramowaniu Adobe Reader, która została odkryta i załatana w 2011 roku.

Złośliwe oprogramowanie zainstalowane w systemie ustanawia połączenie z domeną, która obecnie wskazuje na serwer w Chinach, Dixon powiedział za pośrednictwem poczty elektronicznej. "Szkodliwe oprogramowanie zapewnia atakującym możliwość wykonywania poleceń w systemie ofiary."

Nazwa domeny, z którą kontaktowało się to złośliwe oprogramowanie, była również używana w przeszłości w atakach skierowanych przeciwko tybetańskim aktywistom, powiedział Secafert's Raff. Te starsze ataki instalowały szkodliwe oprogramowanie dla systemu Windows i Mac OS X.

Greg Walton, badacz z MalwareLab, stroju bezpieczeństwa, który śledzi motywowane politycznie ataki złośliwego oprogramowania, powiedział na Twitterze, że celem ataku z użyciem Mandiantów jest atakowanie spersonalizowanych dziennikarzy w Chinach. Ta informacja nie mogła zostać potwierdzona przez Raffa lub Dixona, którzy powiedzieli, że nie mają kopii oryginalnych wiadomości spamowych, a jedynie złośliwego załącznika, który zawarli.