Video: Chiến dá»ch thất bại của quân Äá»i Australia trÆ°á»c Äà n Äà Äiá»u nÄm 1932 (Tháng mười một 2024)
Một nhà nghiên cứu của Trend Micro cho biết, một hoạt động gián điệp không gian mạng đang diễn ra, được đặt tên là An toàn, nhắm vào các tổ chức khác nhau ở hơn 100 quốc gia với các email lừa đảo, các nhà nghiên cứu của Trend Micro cho biết.
Hoạt động này dường như đã nhắm vào các cơ quan chính phủ, công ty công nghệ, cơ quan truyền thông, tổ chức nghiên cứu học thuật và các tổ chức phi chính phủ, Kylie Wilhoit và Nart Villeneuve, hai nhà nghiên cứu mối đe dọa của Trend Micro, đã viết trên Blog Intelligence Intelligence. Trend Micro tin rằng hơn 12.000 địa chỉ IP duy nhất trải rộng trên 120 quốc gia đã bị nhiễm phần mềm độc hại. Tuy nhiên, trung bình chỉ có 71 địa chỉ IP được liên lạc tích cực với các máy chủ C & C mỗi ngày.
"Số nạn nhân thực tế ít hơn nhiều so với số lượng địa chỉ IP duy nhất", Trend Micro cho biết trong whitepaper của mình, nhưng từ chối suy đoán về một con số thực tế.
An toàn dựa trên Spishing Phishing
Safe bao gồm hai chiến dịch lừa đảo giáo riêng biệt sử dụng cùng một loại phần mềm độc hại, nhưng sử dụng các cơ sở hạ tầng chỉ huy và kiểm soát khác nhau, các nhà nghiên cứu đã viết trong sách trắng. Các email lừa đảo của một chiến dịch có dòng tiêu đề đề cập đến Tây Tạng hoặc Mông Cổ. Các nhà nghiên cứu chưa xác định được một chủ đề phổ biến trong các dòng chủ đề được sử dụng cho chiến dịch thứ hai, đã tuyên bố nạn nhân ở Ấn Độ, Mỹ, Pakistan, Trung Quốc, Philippines, Nga và Brazil.
Theo Trend Micro, Safe Micro đã gửi email lừa đảo cho các nạn nhân và lừa họ mở một tệp đính kèm độc hại khai thác lỗ hổng Microsoft Office đã được vá, theo Trend Micro. Các nhà nghiên cứu đã tìm thấy một số tài liệu Word độc hại, khi mở ra, âm thầm cài đặt một trọng tải trên máy tính của nạn nhân. Lỗ hổng thực thi mã từ xa trong Windows Common Controls đã được vá vào tháng 4 năm 2012.
Chi tiết về cơ sở hạ tầng C & C
Trong chiến dịch đầu tiên, các máy tính từ 243 địa chỉ IP duy nhất ở 11 quốc gia khác nhau được kết nối với máy chủ C & C. Trong chiến dịch thứ hai, các máy tính từ 11, 563 địa chỉ IP từ 116 quốc gia khác nhau đã liên lạc với máy chủ C & C. Ấn Độ dường như là mục tiêu được nhắm đến nhiều nhất, với hơn 4.000 địa chỉ IP bị nhiễm.
Một trong những máy chủ C & C đã được thiết lập để bất kỳ ai cũng có thể xem nội dung của các thư mục. Do đó, các nhà nghiên cứu của Trend Micro đã có thể xác định ai là nạn nhân và cũng có thể tải xuống các tệp chứa mã nguồn đằng sau máy chủ C & C và phần mềm độc hại. Nhìn vào mã của máy chủ C & C, có vẻ như các nhà khai thác đã tái sử dụng mã nguồn hợp pháp từ một nhà cung cấp dịch vụ Internet ở Trung Quốc, Trend Micro cho biết.
Những kẻ tấn công đã kết nối với máy chủ C & C qua VPN và sử dụng mạng Tor, khiến việc theo dõi kẻ tấn công dựa vào đâu là khó khăn. "Sự đa dạng về địa lý của các máy chủ proxy và VPN khiến việc xác định nguồn gốc thực sự của chúng trở nên khó khăn", Trend Micro nói.
Những kẻ tấn công có thể đã sử dụng phần mềm độc hại của Trung Quốc
Dựa trên một số manh mối trong mã nguồn, Trend Micro cho biết có khả năng phần mềm độc hại được phát triển ở Trung Quốc. Tại thời điểm này, người ta không biết liệu các nhà khai thác An toàn đã phát triển phần mềm độc hại hay đã mua nó từ người khác.
Các nhà nghiên cứu viết trên blog: "Mặc dù việc xác định ý định và danh tính của những kẻ tấn công vẫn còn khó khăn, chúng tôi đã đánh giá rằng chiến dịch này được nhắm mục tiêu và sử dụng phần mềm độc hại được phát triển bởi một kỹ sư phần mềm chuyên nghiệp có thể kết nối với thế giới ngầm ở Trung Quốc".