每当有名人的信息,诸如惠尼休斯顿的死讯出现在新闻上,我们就会看到Black SEO黑帽搜索引擎优化攻击或其他网络犯罪活动利用这些消息来散布恶意软件。但最近有个目标攻击吸引了我们的注意。这次被用来当做诱饵的是林书豪,NBA 的明星,他在纽约尼克队的出色表现引起了国际的关注。他最近出现在时代杂志的封面上,标题就是简单的“Linsanity(林疯子)”。
正值3·8女人节期间,一个被侦测为TROJ_ARTIEF.LN,文件名为“The incredible story of Jeremy Lin the NBA new superstar.doc(NBA超级新星林书豪令人难以相信的故事)” 的恶意文件开始蔓延。它利用微软Office的一个漏洞(CVE-2010-3333)将恶意软件放入目标的电脑上。这个恶意软件被趋势科技侦测为 BKDR_MECIV.LN。一旦弱点攻击成功,就会打开一份乾净的文件,好让目标不去怀疑有任何恶意行为的发生。趋势科技表示,近年APT渗透攻击越来越频繁。当目标收到一封电子邮件,诱导受害目标打开附件。这个攻击者所附加的文件夹包含了恶意程序代码,可以去攻击常用软件的漏洞。攻击者在恶意软件里嵌入了一个独特的识别特征以供监视,这样就可以让攻击者获得电脑的控制权,并且取得资料。攻击者可能会接着去入侵目标所处的整个网络,而且通常可以保持长时间的控制受害者的电脑。最终,攻击者会找到并且取得受害者所处的网络内部的敏感资料。
这次攻击事实上是趋势科技去年所报告入侵了61个国家1465台电脑,包含外交等单位的LURID攻击活动(通常也被称为Enfal)的一部分。它的受害者主要出现在东欧和中亚。而林来疯攻击则持续了这一攻势。
这里也解译了返回的僵尸网络/傀儡网络 Botnet指挥和控制服务器的信息:
[host name]:[mac address]
[ip address]
windows xp
1252:0409
tt
tb0216
n
n
n
2.14
这个信息包含了主机名称、MAC地址和受害者的IP地址,还有操作系统跟语系设定。此外它还包含了攻击代码tb0216,好让攻击者可以追踪他们的攻击活动。在这次的案例中,攻击代码包括了攻击日期0216和tb。
和趋势科技对LURID攻击的报告所指出的一样,这次攻击还针对了前苏联的国家。在2012年2月8日,趋势科技发现了另一起攻击针对东欧的政府办公室。
这个附件文件被侦测为TROJ_ARTIEF.LN,利用微软Office的漏洞(CVE-2010-3333)来将恶意软件放入目标的电脑上。这个恶意软件被侦测为BKDR_MECIV.LN。一旦弱点攻击成功之后,会打开一份乾净的文件。电子邮件和乾净的文件文件包含了由政府间组织所举办的会议信息。
以下是传回指挥和控制服务器的信息:
[host name]:[mac address]
[ip address]
windows xp
1252:0409
svchsot.exe
0dayfeb03.exe
n
n
n
2.14
被嵌在这次攻击的代码是0dayfeb-3.exe,带有日期(2012年2月3日),也就是目标攻击电子邮件寄送出来的几天前。尽管提到了0day,但这次攻击所使用的漏洞是已经很久但还是很有效的CVE-2010-3333。
这些攻击事件证明了广为人知的攻击活动还是会长时间地继续运行下去。这些攻击的幕后黑手会利用相同恶意软件的变种来不断地对目标发动新的攻击。攻击者会持续利用新闻事件来诱骗受害者执行恶意的电子邮件附件文件。
