Video: GTA San Andreas - All Missions Walkthrough (1080p 50fps) (Nobyembre 2024)
Ang isang patuloy na operasyon ng cyber-spionage, na tinawag na Ligtas, na-target ang iba't ibang mga organisasyon sa higit sa 100 mga bansa na may mga email sa phishing email, natagpuan ng mga mananaliksik ng Trend Micro.
Ang operasyon ay lumilitaw na naka-target na mga ahensya ng gobyerno, mga kumpanya ng teknolohiya, media outlet, mga institusyong pang-akademikong pang-akademiko, at mga non-government organization, sina Kylie Wilhoit at Nart Villeneuve, dalawang mananaliksik na nagbabanta sa Trend Micro, ay sumulat sa Security Intelligence Blog. Naniniwala ang Trend Micro sa higit sa 12, 000 natatanging mga IP address na kumalat sa 120-o-kaya mga bansa na nahawahan sa malware. Gayunpaman, 71 na mga IP address lamang, sa average, aktibong nakikipag-usap sa mga server ng C&C araw-araw.
"Ang aktwal na bilang ng mga biktima ay mas mababa kaysa sa bilang ng mga natatanging IP address, " sinabi ni Trend Micro sa whitepaper nito, ngunit tumanggi na mag-isip sa isang aktwal na pigura.
Ligtas na nakasalalay sa Spear Phishing
Ang ligtas ay binubuo ng dalawang natatanging mga kampanya sa phishing ng sibat gamit ang parehong strain ng malware, ngunit gamit ang iba't ibang mga imprastruktura ng command-and-control, ang mga mananaliksik ay sumulat sa puting papel. Ang isang email sa sibat sa isang kampanya ay mayroong mga linya ng paksa na tumutukoy sa alinman sa Tibet o Mongolia. Hindi pa nakikilala ng mga mananaliksik ang isang karaniwang tema sa mga linya ng paksa na ginamit para sa ikalawang kampanya, na inaangkin ang mga biktima sa India, US, Pakistan, China, Pilipinas, Russia at Brazil.
Ligtas na nagpadala ng mga email sa phishing sa sibat sa mga biktima at linlangin sila sa pagbubukas ng isang nakakahamak na kalakip na pinagsamantalahan ang kahinaan ng Microsoft Office, ayon sa Trend Micro. Natagpuan ng mga mananaliksik ang maraming mga nakakahamak na dokumento ng Salita na, kapag binuksan, tahimik na naka-install ng isang payload sa computer ng biktima Ang kahinaan sa pagpapatupad ng remote code sa Windows Common Controls ay na-patch noong Abril 2012.
Mga detalye ng C&C Infrastructure
Sa unang kampanya, ang mga computer mula sa 243 natatanging IP address sa 11 iba't ibang mga bansa na konektado sa C&C server. Sa pangalawang kampanya, ang mga computer mula sa 11, 563 IP address mula sa 116 na magkakaibang bansa na nakipag-ugnay sa C&C server. Ang India ay lumitaw na ang pinaka-target, na may higit sa 4, 000 mga nahawaang IP address.
Ang isa sa mga server ng C&C ay na-set up upang ang sinumang makakakita ng mga nilalaman ng mga direktoryo. Bilang resulta, natukoy ng mga mananaliksik ng Trend Micro kung sino ang mga biktima, at mag-download din ng mga file na naglalaman ng source code sa likod ng C&C server at ang malware. Sa pagtingin sa code ng C&C server, lumilitaw ang mga operator na na-repurposed ang lehitimong source code mula sa isang service provider ng Internet sa China, sinabi ng Trend Micro.
Ang mga umaatake ay kumokonekta sa C&C server sa VPN at ginagamit ang network ng Tor, na nahihirapang masubaybayan kung saan nakabase ang mga umaatake. "Ang pagkakaiba-iba ng heograpiya ng mga proxy server at VPN ay naging mahirap upang matukoy ang kanilang tunay na pinagmulan, " sabi ni Trend Micro.
Maaaring Gumamit ng Mga Intsik Malware ang mga Attacker
Batay sa ilang mga pahiwatig sa source code, sinabi ni Trend Micro na posible na ang malware ay binuo sa China. Hindi alam sa puntong ito kung binuo ng Safe operator ang malware o binili ito sa ibang tao.
"Habang tinutukoy ang hangarin at pagkakakilanlan ng mga umaatake ay nananatiling mahirap, tinasa namin na ang kampanyang ito ay na-target at gumagamit ng malware na binuo ng isang propesyonal na engineer ng software na maaaring konektado sa cybercriminal underground sa China, " ang mga mananaliksik ay sumulat sa blog.
