Video: Ich öffne 100x WOT Loot-Boxen und mache Profit! [Premium Panzer und Mehr] (Dezember 2024)
Trend Micro-Forscher fanden heraus, dass ein laufender Cyberspionage-Betrieb mit dem Namen Safe verschiedene Organisationen in mehr als 100 Ländern mit Spear-Phishing-E-Mails ansprach.
Die Operation scheint auf Regierungsbehörden, Technologiefirmen, Medien, akademische Forschungseinrichtungen und Nichtregierungsorganisationen ausgerichtet zu sein. Kylie Wilhoit und Nart Villeneuve, zwei Trend Micro-Bedrohungsforscher, haben im Security Intelligence Blog geschrieben. Trend Micro geht davon aus, dass über 12.000 eindeutige IP-Adressen in rund 120 Ländern mit der Malware infiziert wurden. Täglich kommunizieren jedoch durchschnittlich nur 71 IP-Adressen aktiv mit den C & C-Servern.
"Die tatsächliche Anzahl der Opfer ist weitaus geringer als die Anzahl der eindeutigen IP-Adressen", sagte Trend Micro in seinem Whitepaper, lehnte es jedoch ab, über eine tatsächliche Zahl zu spekulieren.
Sicher setzt auf Spear Phishing
Safe besteht aus zwei unterschiedlichen Spear-Phishing-Kampagnen, die dieselbe Malware-Belastung, aber unterschiedliche Infrastrukturen für die Steuerung und Kontrolle verwenden, wie die Forscher im Whitepaper beschrieben haben. Die Spear-Phishing-E-Mails einer Kampagne enthielten Betreffzeilen, die sich entweder auf Tibet oder die Mongolei bezogen. Forscher haben noch kein gemeinsames Thema in den Betreffzeilen der zweiten Kampagne identifiziert, in der Opfer in Indien, den USA, Pakistan, China, den Philippinen, Russland und Brasilien gefordert wurden.
Laut Trend Micro hat Safe Spear-Phishing-E-Mails an die Opfer gesendet und sie dazu verleitet, einen schädlichen Anhang zu öffnen, der eine bereits gepatchte Microsoft Office-Sicherheitsanfälligkeit ausnutzt. Die Forscher fanden mehrere schädliche Word-Dokumente, die beim Öffnen im Hintergrund eine Nutzlast auf dem Computer des Opfers installierten. Die Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Windows Common Controls wurde im April 2012 behoben.
Details zur C & C-Infrastruktur
In der ersten Kampagne wurden Computer mit 243 eindeutigen IP-Adressen in 11 verschiedenen Ländern mit dem C & C-Server verbunden. In der zweiten Kampagne kommunizierten Computer mit 11.563 IP-Adressen aus 116 verschiedenen Ländern mit dem C & C-Server. Indien schien mit über 4.000 infizierten IP-Adressen das am meisten betroffene Land zu sein.
Einer der C & C-Server wurde so eingerichtet, dass jeder den Inhalt der Verzeichnisse anzeigen kann. Auf diese Weise konnten Trend Micro-Forscher feststellen, wer die Opfer waren, und Dateien herunterladen, die den Quellcode hinter dem C & C-Server und die Malware enthielten. Betrachtet man den Code des C & C-Servers, so sieht es so aus, als ob die Betreiber den legitimen Quellcode eines Internetdienstanbieters in China neu verwendet hätten, so Trend Micro.
Die Angreifer stellten über VPN eine Verbindung zum C & C-Server her und nutzten das Tor-Netzwerk, wodurch es schwierig wurde, den Standort der Angreifer zu ermitteln. "Die geografische Vielfalt der Proxy-Server und VPNs machte es schwierig, ihren wahren Ursprung zu bestimmen", sagte Trend Micro.
Angreifer haben möglicherweise chinesische Malware verwendet
Basierend auf einigen Hinweisen im Quellcode sagte Trend Micro, es sei möglich, dass die Malware in China entwickelt wurde. Zu diesem Zeitpunkt ist nicht bekannt, ob die Safe-Betreiber die Malware entwickelt oder von einer anderen Person gekauft haben.
"Obwohl es weiterhin schwierig ist, die Absicht und Identität der Angreifer zu bestimmen, haben wir festgestellt, dass diese Kampagne auf Malware abzielt, die von einem professionellen Software-Ingenieur entwickelt wurde, der möglicherweise mit dem Cybercriminal Underground in China in Verbindung gebracht wird", schrieben die Forscher im Blog.
