Μελέτη κινεζικών χάκερ μπερδεύεται ως Phishing δόλωμα

Οι επιτιθέμενοι χρησιμοποιούν ψεύτικες εκδόσεις μιας πρόσφατα δημοσιευθείσας έκθεσης σχετικά με μια κινεζική ομάδα cyberespionage ως δόλωμα σε νέες επιθέσεις δόλιου phishing που στοχεύουν χρήστες της Ιαπωνίας και της Κίνας

. που κυκλοφόρησε την Τρίτη από την εταιρεία ασφαλείας Mandiant και παρουσιάζει με μεγάλη λεπτομέρεια τις εκστρατείες κυπριακής καταστολής που διεξήχθησαν από το 2006 από μια ομάδα χάκερ γνωστή ως πλήρωμα σχολίων σε περισσότερες από 100 εταιρείες και οργανισμούς από διάφορους κλάδους.

Ο Mandiant αναφέρεται στην ομάδα ως APT1 Απειλή 1) και ισχυρίζεται στην έκθεση ότι πιθανότατα πρόκειται για μια μυστική μονάδα κυπριακής διαφθοράς που βασίζεται στη Σαγκάη του κινεζικού στρατού - του Λαϊκού Απελευθερωτικού Στρατού (PLA) - που ονομάζεται "Μονάδα 61398".

Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας των Windows]

Η κινεζική κυβέρνηση έχει απορρίψει τους ισχυρισμούς του Mandiant ως αβάσιμες. Ωστόσο, η έκθεση έλαβε μεγάλη προσοχή από τους ανθρώπους στον κλάδο της ασφάλειας πληροφορικής, καθώς και από το ευρύ κοινό.

Φαίνεται ότι αυτή η δημοσιότητα οδήγησε πλέον τους επιτιθέμενους να αποφασίσουν να χρησιμοποιήσουν την έκθεση ως δόλωμα σε νέες στοχευμένες επιθέσεις.

Οι δυο διαφορετικές επιθέσεις δόλιου phishing εντοπίστηκαν την περασμένη εβδομάδα χρησιμοποιώντας μηνύματα ηλεκτρονικού ταχυδρομείου με κακόβουλα συνημμένα που περιπλέκονται ως αναφορά Mandiant, δήλωσε ο Aviv Raff, επικεφαλής της τεχνολογίας της εταιρείας ασφάλειας Seculert. επίθεση στοχευμένες ιαπωνικά-μιλώντας χρήστες και εμπλέκονται μηνύματα ηλεκτρονικού ταχυδρομείου με ένα συνημμένο που ονομάζεται Mandiant.pdf. Αυτό το αρχείο PDF εκμεταλλεύεται ένα θέμα ευπάθειας στο Adobe Reader, το οποίο είχε διορθωθεί από την Adobe σε μια επείγουσα ενημέρωση την Τετάρτη, σύμφωνα με ερευνητές της Seculert σε μια θέση στο blog.

Το κακόβουλο λογισμικό που εγκαταστάθηκε από το exploit συνδέεται με ένα διακομιστή εντολών και ελέγχων που φιλοξενείται στο Η Κορέα, αλλά και σε επαφή με κάποιους ιαπωνικούς ιστότοπους, πιθανώς σε μια προσπάθεια να εξαπατήσουν τα προϊόντα ασφαλείας, ανέφεραν οι ερευνητές της Seculert.

Η Symantec επίσης ανίχνευσε και ανέλυσε την επίθεση δόλιου phishing. "Το μήνυμα έρχεται σε επαφή με κάποιον από τα μέσα ενημέρωσης που συνιστά την αναφορά", δήλωσε ο ερευνητής της Symantec Joji Hamada σε μια θέση στο blog. Ωστόσο, θα ήταν προφανές για ένα ιαπωνικό άτομο ότι το ηλεκτρονικό ταχυδρομείο δεν γράφτηκε από έναν εγγενή ιαπωνικό ομιλητή.

Ο Hamada επεσήμανε ότι παρόμοιες τακτικές έχουν χρησιμοποιηθεί στο παρελθόν. Σε ένα περιστατικό από το 2011, οι χάκερ χρησιμοποίησαν ένα ερευνητικό έγγραφο σχετικά με στοχοθετημένες επιθέσεις που δημοσίευσε η Symantec ως δόλωμα. "Έκαναν αυτό με spamming στόχους με την πραγματική whitepaper μαζί με κακόβουλο λογισμικό κρυμμένο σε ένα συνημμένο αρχείο", δήλωσε ο Hamada.

Χρησιμοποιείται το παλιό Adobe ελαττωματικό

Η δεύτερη επίθεση δόλιου phishing εντοπίζεται στόχοι κινέζικων χρηστών και χρησιμοποιεί κακόβουλο Σύμφωνα με μια ανάλυση του αρχείου PDF από τον ερευνητή Brandon Dixon της εταιρείας παροχής συμβουλών ασφάλειας 9b +, το έγγραφο εκμεταλλεύεται ένα παλαιότερο θέμα ευπάθειας του Adobe Reader το οποίο ανακαλύφθηκε και καλύφθηκε το 2011.

Το κακόβουλο λογισμικό εγκατεστημένο στο σύστημα δημιουργεί μια σύνδεση με έναν τομέα που δείχνει προς το παρόν έναν διακομιστή στην Κίνα, δήλωσε ο Dixon μέσω ηλεκτρονικού ταχυδρομείου. "Το κακόβουλο λογισμικό παρέχει στους επιτιθέμενους τη δυνατότητα εκτέλεσης εντολών στο σύστημα του θύματος."

Το όνομα τομέα που ήρθε σε επαφή με αυτό το κακόβουλο λογισμικό χρησιμοποιήθηκε επίσης στο παρελθόν σε επιθέσεις που στοχεύουν θιβετιανούς ακτιβιστές, δήλωσε ο Raff του Seculert. Αυτές οι παλαιότερες επιθέσεις εγκατέστησαν τόσο κακόβουλα προγράμματα στα Windows όσο και στο Mac OS X.

Ο Greg Walton, ερευνητής από την MalwareLab, ένα εξάρτημα ασφαλείας που παρακολουθεί επιθέσεις κακόβουλου λογισμικού με πολιτικά κίνητρα, δήλωσε στο Twitter ότι η επίθεση με phishing με θέμα Mandiant απευθυνόταν σε δημοσιογράφους στην Κίνα. Αυτές οι πληροφορίες δεν μπόρεσαν να επιβεβαιωθούν από τους Raff ή Dixon, οι οποίοι δήλωσαν ότι δεν έχουν αντίγραφα των αρχικών μηνυμάτων spam, μόνο του κακόβουλου συνημμένου που περιέχουν.