Kiinan hakkereiden tutkiminen on syvennetty tietojenkalasteluna

Hyökkääjät käyttävät väärennettyjä versioita äskettäin julkaistusta raportista kiinalainen cyberespionage -ryhmästä syöksyinä uusissa keihään-phishing-hyökkäyksissä, jotka kohdistuvat japanilaisiin ja kiinalaisiin käyttäjiin.

Raportti oli joka julkaistiin tiistaina tietoturva-alan yrityksestä Mandiant ja dokumentoi yksityiskohtaisesti verkkoyrityskampanjoita, joita vuonna 2006 harjoitteluryhmä kutsui kommentoimisjoukoksi yli 100 yritystä ja organisaatiota eri toimialoilta.

Mandiant viittaa ryhmään APT1 (Advanced Persistent Threat 1) ja väittää raportissaan, että se on todennäköisesti Kiinan armeijan salaisen Shanghaissa toimivan tietoverkkoyksikkö - kansan vapautusarmeija (PLA) -koodikoodi nimeltä "Unit 61398".

[

] Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Kiinan hallitus on hylännyt Mandiantin väitteet perusteettomina. Raportti sai kuitenkin paljon huomiota tietoturva-alan työntekijöiltä ja yleisöltä.

Näyttää siltä, ​​että tämä mainos on nyt johtanut hyökkääjiin päättäessään käyttää raporttia syötteinä uusissa kohdennetuissa hyökkäyksissä.

Haittaohjelmat masquerades as Mandiant raportin

Viime viikolla löydettiin kaksi erilaista keihään-phishing-hyökkäystä käyttäen sähköpostiviestejä, joissa oli haitallisia liitetiedostoja, jotka masqueradivat Mandiantin raportin mukaan, Seculertin tietoturvayrityksen teknologiapäällikkö Aviv Raff. hyökkäys kohdistui japanilaisille käyttäjille ja mukana olleisiin sähköpostiviesteihin Mandiant.pdf-liitteenä. Tämä PDF-tiedosto hyödyntää Adobe Reader -ohjelmaa, jonka Adobe päivitti hätäpäivityksessä keskiviikkona, Seculertin tietoturvatutkijat sanoivat blogikirjoituksessa.

Hyödyn asentama haittaohjelma yhdistyy komentotulkintapalvelimeen, joka isännöi Koreassa, mutta myös koskettaa joitain japanilaisia ​​verkkosivustoja, todennäköisesti yrittäen huijata tietoturvatuotteita, Seculert-tutkijat sanoivat.

Symantec on myös havainnut ja analysoinut keihään-phishing-hyökkäyksen. "Sähköposti pyrkii olemaan joku lehdistössä suositella raporttia", Symantec-tutkija Joji Hamada sanoi blogikirjoituksessa. Japanilaiselle henkilölle olisi kuitenkin ilmeistä, että japanilaista puhujaa ei kirjoittanut sähköpostia, hän sanoi.

Hamada huomautti, että samanlaisia ​​taktiikoita on käytetty aiemmin. Eräässä vuonna 2011 tapahtuneessa tapahtumassa hakkerit käyttivät tutkimusraporttia Symantecin syöttien julkaisemista kohdennetuista hyökkäyksistä. "He tekivät tämän lähettämällä tavoitteita todellisen valkoisen kirjan mukana haittaohjelmien kanssa, jotka on piilotettu arkistomateriaaliin", Hamada totesi.

Hyödyntää vanhaa Adobe-vikaa

Toinen keihään-phishing-hyökkäys havaitsi kiinankielisiä käyttäjiä ja käyttää haittaohjelmia liitteenä nimeltä "Mandiant_APT2_Report.pdf".

Tietoturvallisuusalan konsulttiyrityksen 9b + tutkijan Brandon Dixonin PDF-tiedoston analyysin mukaan asiakirja hyödyntää vanhaa Adobe Reader -haavoittuvuutta, joka löydettiin ja patsoitiin vuonna 2011.

Haittaohjelma asennetaan järjestelmään, muodostaa yhteyden verkkotunnukseen, joka tällä hetkellä osoittaa palvelimelle Kiinassa, Dixon sanoi sähköpostitse. "Haittaohjelmat tarjoavat hyökkääjille mahdollisuuden suorittaa käskyjä uhrin järjestelmässä."

Tämän haittaohjelman kautta otettua verkkotunnusta käytettiin aiemmin tiibetiläisten kohdistettujen hyökkäysten yhteydessä, Seculertin Raffin mukaan. Nämä vanhemmat hyökkäykset asensivat sekä Windowsin että Mac OS X: n haittaohjelmat, hän sanoi.

Greg Walton, joka on MalwareLabin tutkija, joka seuraa poliittisesti motivoituneita haittaohjelmien iskuja, kertoi Twitterissä, että Mandiant-teemalla keihään-phishing-hyökkäys kohdistui toimittajiin Kiinassa. Raff tai Dixon ei voinut vahvistaa näitä tietoja, jotka sanoivat, että heillä ei ole kopioita alkuperäisistä roskapostiviesteistä, vaan ainoastaan ​​haitallisesta liitetiedostosta.