Trend Micro의 보안 연구원은 정부 부처, 기술부에 속한 컴퓨터를 손상시킨 활성 cyberespageage 작업을 발견했습니다. 기업, 언론 매체, 학술 연구 기관 및 100 개국 이상의 비정부기구를 대상으로합니다.

트렌드 마이크로가 Safe라고 부른이 작업은 악의적 인 첨부 파일이있는 스피어 피싱 전자 메일을 사용하여 잠재적 피해자를 대상으로합니다.

두 가지 전술 발견

조사에 따르면 2 개의 독립된 세이프티 (Safe & Safe) 서버가 사용 된 두 가지 명령 제어 서버 (C & C)가 발견되었습니다.

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

하나의 캠페인은 티베트와 몽골과 관련된 내용의 스피어 피싱 이메일을 사용합니다. 이 이메일에는 2012 년 4 월에 Microsoft가 패치 한 Microsoft Word 취약점을 악용하는.doc 첨부 파일이 있습니다.

이 캠페인의 C & C 서버에서 수집 한 액세스 로그에는 11 개국의 총 243 개의 희생자 IP (인터넷 프로토콜) 주소가 있습니다. 그러나 연구원들은 몽골과 남부 수단의 IP 주소로 수사 당시에도 여전히 활동적인 희생자 3 명을 발견했다. 두 번째 공격 캠페인에 해당하는 C & C 서버는 116 개국에서 11,563 명의 희생자 IP 주소를 기록했다. 그러나 희생자의 실제 숫자는 훨씬 더 낮을 것으로 보인다. 평균 71 명의 희생자가 수사 중 특정 시점에이 C & C 서버 세트와 적극적으로 통신하고 있다고 밝혔습니다.

두 번째 공격 캠페인에 사용 된 공격 이메일은 확인되지 않았지만 캠페인은 피해자는 지리적으로 더 널리 퍼져 나갔다. 피해자의 IP 주소가 기록 된 상위 5 개 국가는 인도, 미국, 중국, 파키스탄, 필리핀 및 러시아입니다.

임무 수행 맬웨어

감염된 컴퓨터에 설치된 맬웨어는 주로 정보를 도용하도록 설계되었지만 그 기능은 추가 모듈로 향상 될 수 있습니다. 연구원은 명령 및 제어 서버에서 특수 목적의 플러그인 구성 요소를 발견했으며, Internet Explorer 및 Mozilla Firefox에서 저장된 암호를 추출하는 데 사용할 수있는 상용 프로그램과 함께 저장된 원격 데스크톱 프로토콜 자격 증명도 발견했습니다. Windows "

"공격자의 의도와 신원을 확인하는 것이 종종 어려움을 겪는 동안 우리는 Safe 캠페인이 목표로 삼고 중국의 사이버 범죄자와 연결된 전문 소프트웨어 엔지니어가 개발 한 멀웨어를 사용한다고 결정했습니다. " 트렌드 마이크로 연구원은 그들의 논문에서 말했다. "이 개인은 같은 나라의 유명한 기술 대학에서 공부하고 인터넷 서비스 회사의 소스 코드 저장소에 액세스 할 수있는 것으로 보입니다."C & C 서버 운영자는 여러 국가의 IP 주소에서 액세스했지만 대부분 중국, 홍콩과의 협상을 진행중이라고 트렌드 마이크로 (Trend Micro) 연구원은 밝혔다. "우리는 또한 운영 업체의 IP 주소의 지리적 다양성에 기여한 Tor와 같은 VPN 및 프록시 도구의 사용을 보았습니다."

의 업데이트 된 업데이트 PT는 Trend Micro의 이름이 바뀌 었음을 반영합니다. 이야기의 주제 인 사이버 스톱 운영과 연구 보고서에 대한 링크.