Car-tech

Studier av kinesiske hackere er dangled som phishing agn

Mighty Guard Security Application Modicare Malayalam

Mighty Guard Security Application Modicare Malayalam

Innholdsfortegnelse:

Anonim

Angripere bruker falske versjoner av en nylig utgitt rapport om en kinesisk cyberespionage-gruppe som agn i nye spydsfiskeangrep som er målrettet mot japanske og kinesiske brukere.

Rapporten var utgitt tirsdag av sikkerhetsfirmaet Mandiant og dokumenterer i detalj detaljene i nettleserkampanjene som ble gjennomført siden 2006 av en hackergruppe kjent som Kommentar Crew mot mer enn 100 selskaper og organisasjoner fra ulike bransjer.

Mandiant refererer til gruppen som APT1 (Advanced Persistent Threat 1) og hevder i rapporten at det sannsynligvis er en hemmelig Shanghai-basert cyberespionage-enhet i den kinesiske hæren - People's Liberation Army (PLA) -kodenavnet "Unit 61398."

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Den kinesiske regjeringen har avvist Mandiants krav som grunnløse. Rapporten mottok imidlertid mye oppmerksomhet fra personer i IT-sikkerhetsbransjen, så vel som fra allmennheten.

Det ser ut til at denne publisiteten nå har ført til at angriperne besluttet å bruke rapporten som agn i nye målrettede angrep.

Malware masquerades som Mandiant rapport

To forskjellige phishing-angrep ble oppdaget i forrige uke ved hjelp av e-postmeldinger med ondsinnede vedlegg som masqueraded som Mandiant-rapporten, sier Aviv Raff, sjefsteknologsjef i sikkerhetsfirmaet Seculert. angripe målrettede japansktalende brukere og involvert e-post med et vedlegg kalt Mandiant.pdf. Denne PDF-filen utnytter et sikkerhetsproblem i Adobe Reader som ble lappet av Adobe i en nødoppdatering onsdag, sier sikkerhetsforskere fra Seculert i et blogginnlegg.

Malware installert av exploit forbinder til en kommando- og kontrollserver som er vert for Korea, men kontakter også noen japanske nettsteder, sannsynligvis i et forsøk på å lure sikkerhetsprodukter, sa Seculert-forskerne.

Symantec har også oppdaget og analysert angrep av phishing-phishing. "E-posten tilsier å være fra noen i media som anbefaler rapporten," sier Symantec-forsker Joji Hamada i et blogginnlegg. Det ville imidlertid være tydelig for en japansk person at e-posten ikke var skrevet av en innfødt japansk høyttaler, sa han.

Hamada påpekte at lignende taktikker har blitt brukt tidligere. I en hendelse tilbake i 2011 brukte hackere et forskningspapir om målrettede angrep publisert av Symantec som agn. "De gjorde dette ved å spamming mål med den faktiske hvitboken sammen med skadelig programvare som er skjult i et arkivvedlegg," sa Hamada.

Utnytter gammel Adobe-feil

Det andre spydsfiskeangrepet oppdaget målrettet kinesisktalende brukere og bruker en ondsinnet Vedlegg kalt "Mandiant_APT2_Report.pdf."

Ifølge en analyse av PDF-filen av forsker Brandon Dixon fra sikkerhetskonsulentfirmaet 9b + utnytter dokumentet et eldre Adobe Reader-sikkerhetsproblem som ble oppdaget og oppdatert i 2011.

Malware installert på systemet etablerer en forbindelse til et domene som peker på en server i Kina, sa Dixon via e-post. "Malware gir angripere muligheten til å utføre kommandoer på offerets system."

Domenenavnet som ble kontaktet av denne malware, ble også brukt tidligere i angrep som angrep tibetanske aktivister, sa Seculert's Raff. De eldre angrepene installerte både Windows og Mac OS X malware, sa han.

Greg Walton, en forsker fra MalwareLab, et sikkerhetsutstyr som sporer politisk motiverte malwareangrep, sa på Twitter at Mandiant-themed spear-phishing-angrep målrettet journalister i Kina. Denne informasjonen kunne ikke bekreftes av Raff eller Dixon, som sa at de ikke har kopier av de originale spam-e-postene, bare av det ondsinnede vedlegget de inneholdt.