Safe APT攻击 - APT防御产品

Safe APT攻击

013年5月底,TrendMicro的Nart Villeneuve又公布了一个APT攻击,根据恶意代码文件中的词命名为“Safe”。根据报告,Safe的主要攻击对象为政府机关、科技公司、媒体、研究机构,以及非政府组织。已知有近12,000个受害IP,受害者遍布超过 100个国家,平均每天有71个受害IP连接C&C 服务器,其中主要受害者IP来源国集中在印度、美国、中国以及巴基斯坦。

Safe攻击的发起很经典,那就是定向钓鱼(spear-phishing)。典型的是发送给受害者一个包含名为

NBC Interview_Excerpts.doc的附件的邮件。这个附件中有一个利用了CVE-2012-0158等微软Office漏洞的恶意代码。一旦打开,如果受害者的WORD没有及时打补丁的话,就会中招。

091904735.png

恶意代码释放后,会开始通过HTTP POST跟C&C进行通讯。而C&C服务器端代码使用了PHP和MySQL来编写。

接下来,受害者电脑会通过C&C下载更多的攻击软件,以便攻击者实施更多的攻击行为。

通过对Safe的恶意代码的源代码分析,攻击软件的开发者可能来自中国。

091936759.png


转载请注明出处 APT防御产品 » Safe APT攻击

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址