正在阅读:卡巴斯基发现针全球性网络间谍攻击行动卡巴斯基发现针全球性网络间谍攻击行动

2013-06-28 13:46 出处:PConline原创 作者:佚名 责任编辑:wuweilong

  近日,国际知名信息安全厂商卡巴斯基实验室的专家团队发表了一篇最新的关于NetTraveler的研究报告。新的数据表明:一些高级持续性威胁攻击者使用NetTraverler家族的恶意程序成功感染和攻陷了40个国家的超过350家重要机构。NetTraveler的受害者分布广泛,包括公共机构及私营企业,其中既有政府机构、大使馆,还包括石油和天然气企业、研究中心、军方承包商以及政治活动家。

  根据卡巴斯基实验室报告,NetTraveler从2004年初就开始活跃。但是其活跃最高峰发生于2010至2013年。最近,NetTraveler背后的攻击者的兴趣转向太空开发、纳米技术、能源生产、核能、激光、制药以及通讯,并针对相关领域开展了网络间谍行动。

  根据卡巴斯基安全专家的分析,NetTraveler的感染手段有以下几种方式:

  含恶意Office文档附件,其中包括两种高危漏洞(CVE-2012-0158 和 CVE-2010-3333)。尽管微软早已经修补了这些漏洞,但其仍然在针对行攻击中被广泛使用,并且已证明攻击非常有效。

  钓鱼式攻击邮件中所含恶意附件的标题说明NetTraveler攻击者精心设计了攻击,其目的是为了感染那些重要目标。这些恶意附件的标题包括以下几种:

  o    2013年军队网络安全策略.doc

  o    报告——亚洲防御开支剧增.doc

  o    行动详情.doc

  o    达赖喇嘛访问瑞士的第四天

  o    言论自由.doc

  在对其进行分析过程中,卡巴斯基的专家团队从多个NetTraveler的命令和控制服务器(C&C)获取到感染日志。命令和控制服务器用来在受感染计算机上安装其它恶意软件,并将窃取到的数据泄漏出来。卡巴斯基实验室的专家计算出存储在NetTraveler的命令和控制服务器上的窃取到的数据容量超过22 GB。从受感染计算机上泄漏的数据通常包括文件系统列表、键盘击键记录、各种类型的文件(包括PDF、Excel表格Word文档等文件)。此外,NetTraveler工具还能够安装用于窃取信息的恶意软件作为后门程序,并对其进行配置,用于窃取其它类型的敏感信息,例如应用程序的配置详情或计算机辅助设计文件。

  根据卡巴斯基实验室对NetTraveler的C&C数据进行分析,有40个国家和地区的350家机构遭受感染,其中包括美国、加拿大、英国、俄罗斯、智利、摩洛哥、希腊、比利时、奥地利、乌克兰、立陶宛、白俄罗斯、澳大利亚、日本、中国、蒙古、伊朗、土耳其、印度、巴基斯坦、韩国、泰国、卡塔尔、哈萨克斯坦和约旦。

  而结合C&C数据分析,卡巴斯基实验室专家还使用卡巴斯基安全网络(KSN)进一步确认感染数据。卡巴斯基安全网络检测到的受害者排名前十位的国家分别为蒙古、俄罗斯、印度、哈萨克斯坦、吉尔吉斯斯坦、中国、塔吉克斯坦、韩国、西班牙和德国。

卡巴斯基

  而在对NetTraveler分析过程中,卡巴斯基的安全专家还发现有6家受感染机构同时被NetTraveler和”红色十月”所感染。”红色十月”是另一种网络间谍攻击行动,由卡巴斯基实验室在2013年1月所发现。虽然目前没有发现NetTraveler和”红色十月”幕后的攻击者有直接关联,但同一个机构被两种攻击行动所感染,表明这些重要机构的信息对攻击者来说是非常有价值的商品。

  想要阅读卡巴斯基实验室的详细报告,包括被攻击后的表现特征、修复技巧以及NetTraveler详情以及其恶意组件,请访问Securelist.

  卡巴斯基实验室产品能够检测和清除NetTraveler工具所使用的恶意程序及其变种,包括iTrojan-Spy.Win32.TravNet 和Downloader.Win32.NetTraveler。卡巴斯基实验室产品还能够检测钓鱼式攻击中所利用的漏洞,包括Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158。

关注我们

最新资讯离线随时看 聊天吐槽赢奖品