중국 해커에 대한 연구가 피싱 미끼로 매달려있다.

화요일에 보안 회사 인 Mandiant에 의해 발표되었으며 2006 년 이후 해커 그룹 (comment Crew)이 다른 업계의 100 개 회사 및 조직에 대해 2006 년 이후 실시한 cyberespionage 캠페인에 대해 자세히 기록합니다.

Mandiant는 APT1 (Advanced Persistent 위협 1)과 보고서에서 중국군 비밀리에 상해를 기반으로 한 중국 인민 해방군 (PLA)의 암호 기밀 유닛 (코드 명 "Unit 61398") 일 가능성이 있다고 주장했다.

추가 정보: 귀하의 Windows PC에서 악성 코드 제거 방법]

중국 정부는 Mandiant의 주장을 근본적으로 기각했습니다. 그러나이 보고서는 IT 보안 업계뿐만 아니라 일반 대중으로부터 많은 관심을 받았다.

이번 홍보는 공격자가 새로운 표적 공격에서 미끼로 사용하기로 결정한 것으로 보인다.

악성 코드 위증 행위가 맨디 언트 보고서로 나타남

악성 첨부 파일이 맨디 언트 보고서로 위장한 전자 메일을 사용하여 지난 주에 두 가지 다른 스피어 피싱 공격이 발견되었다고 보안 업체 Seculert의 CTO 인 Aviv Raff가 말했습니다.

One 일본어를 사용하는 사용자를 대상으로 한 공격과 Mandiant.pdf라는 첨부 파일이 포함 된 전자 메일이 포함되었습니다. Seculert의 보안 연구원은 어도비가 Adobe에서 패치 한 취약성을 악용 한 Adobe Reader의 취약점을 악용 한 것으로 밝혀졌다.

Exploit에 의해 설치된 악성 코드는 호스팅 된 명령 및 제어 서버에 연결된다. Seculert 연구원은 보안 제품을 속이려는 시도로 아마 일본의 일부 웹 사이트에도 접속할 것이라고 말했다.

시만텍은 스피어 피싱 공격도 탐지하여 분석했다. 시만텍의 연구원 인 하마다 조제 (Joji Hamada)는 블로그 포스트에서 "이 이메일은 언론 매체의 누군가가보고 한 내용을 담고있다. 그러나 일본어가 모국어 인 사람이 전자 메일을 쓰지 않았 음을 일본인이 분명히 알 수 있다고 하마다는 비슷한 전술이 과거에 사용되었다고 지적했다. 2011 년 한 사건에서 해커들은 Symantec이 미끼로 발표 한 표적 공격에 대한 연구 보고서를 사용했습니다. 하마다는 "어도비는 아카이브 첨부 파일에 숨어있는 악성 코드와 함께 실제 백서를 사용하여 타겟을 스팸으로 만들었습니다."라고 말했습니다.

오래된 Adobe 결함을 악용합니다.

두 번째 스피어 피싱 공격은 중국어 사용 사용자를 탐지하고 악의적 인 "Mandiant_APT2_Report.pdf"라고 불리는 첨부 파일

보안 컨설팅 회사 인 9b +의 연구원 Brandon Dixon에 의한 PDF 파일 분석에 따르면이 문서는 2011 년에 발견되어 패치 된 이전 Adobe Reader 취약점을 악용합니다.

시스템에 설치되어 현재 중국 서버를 가리키는 도메인에 대한 연결을 설정한다고 딕슨은 이메일을 통해 전했다. "악성 코드는 공격자가 피해자의 시스템에서 명령을 실행할 수있는 기능을 제공합니다."Seculert의 Raff는 티베트인 활동가를 대상으로 한 공격에서이 악성 코드가 접촉 한 도메인 이름도 과거에 사용되었다고 전했다. 그 오래된 공격은 윈도우와 맥 OS X 맬웨어를 모두 설치했다고 그는 말했다. 그레그 월튼 (Guware Walton) 정치적 동기 유발 맬웨어 공격을 추적하는 보안 복장 인 맬웨어 랩 (MalwareLab)의 연구원은 트위터를 통해 맨디언을 주제로 한 스피어 피싱 공격이 언론인 중국에서. 이 정보는 Raff 나 Dixon에 의해 확인되지 않았습니다. Raff 나 Dixon은 원본 스팸 전자 메일의 사본을 가지고 있지 않으며 악의적 인 첨부 파일 만 포함하고 있다고 말했습니다.