攻击者利用最近发布的一份关于中国一个网络间谍组织的报告的假版本,作为新的针对日本和中国用户的鱼叉式网络钓鱼攻击的诱饵。
[相关:来认识一下Mandiant:这家公司正在为所谓的中国黑客打掩护]
这份报告是周二发布这些文件详细记录了一个名为“评论小组”(Comment Crew)的黑客组织自2006年以来对来自不同行业的100多家公司和组织进行的网络间谍活动。
Mandiant将该组织称为APT1(高级持续威胁1),并在报告中声称,该组织可能是中国军队——中国人民解放军(PLA)在上海的一个秘密网络间谍单位,代号为“61398部队”。
中国政府驳回曼迪昂特的指控,称其毫无根据.然而,该报告受到了IT安全行业人士以及公众的广泛关注。
现在看来,这种宣传已经导致攻击者决定利用这份报告作为新的有针对性攻击的诱饵。
安全公司Seculert的首席技术官阿维夫拉夫(Aviv Raff)说,周四发现了两起不同的鱼叉式网络钓鱼攻击,它们使用的是伪装成Mandiant报告的带有恶意附件的电子邮件。
其中一次攻击的目标是说日语的用户,涉及的邮件附件名为Mandiant.pdf。这个PDF文件利用了Adobe Reader的一个漏洞,Adobe在周三的紧急更新中修补了这个漏洞博客.
Seculert的研究人员说,利用该漏洞安装的恶意软件连接到位于韩国的一个命令和控制服务器,但也会联系一些日本网站,可能是为了欺骗安全产品。
赛门铁克还检测并分析了鱼叉式网络钓鱼攻击。赛门铁克研究员Joji Hamada在一份博客.然而,他说,对于日本人来说,很明显这封邮件不是由以日语为母语的人写的。
滨田指出,过去也曾使用过类似的策略。在2011年的一次事件中,黑客使用了赛门铁克(Symantec)发表的一篇关于定向攻击的研究论文作为诱饵。滨田说:“他们的做法是用实际的白皮书和隐藏在档案附件中的恶意软件向目标发送垃圾邮件。”
周四检测到的第二起鱼叉式网络钓鱼攻击的目标是说中文的用户,并使用了一个名为“Mandiant_APT2_Report.pdf”的恶意附件。
根据PDF文件的分析由安全咨询公司9b+的研究员布兰登·迪克森(Brandon Dixon)编写的,该文档利用了Adobe Reader的一个较早的漏洞,该漏洞在2011年被发现并进行了修补。
迪克森在电子邮件中说,安装在系统上的恶意软件与一个目前指向中国服务器的域建立了连接。恶意软件使攻击者能够在受害者的系统上执行命令。
secerert的Raff说,这个恶意软件所连接的域名过去也曾被用于针对西藏活动人士的攻击。他说,以前的攻击同时安装了Windows和Mac OS X恶意软件。
格雷格·沃尔顿是MalwareLab的研究员,MalwareLab是一家跟踪政治动机恶意软件攻击的安全机构,在推特上说以mandiant为主题的鱼叉式网络钓鱼攻击针对的是中国的记者。这一信息无法被Raff或Dixon确认,他们说他们没有原始垃圾邮件的副本,只有恶意附件。