通过电子邮件实施的APT攻击

通过电子邮件实施的APT攻击

作者：趋势科技威胁研究经理 Ivan Macalintal

在监测目标攻击（特别是APT-高级持续性渗透攻击)时，趋势科技发现一封夹带有 PDF 文件的电子邮件，这个文件在总共 42 个常规及启发式检测规则里仅仅触发了四个规则。

趋势科技随即检查了这封电子邮件，哇！这封信来自笔者的一位就职于 FireEye 的研究员同事兼朋友，应该是可以信赖的，并且他也在监测这些活动。更准确来说，至少邮件看起来会给人这样的感觉。

邮件看起来很正常，对吧！但直觉告诉我们，这里有些不对劲，所以趋势科技先仔细检查了一下电子邮件的头部信息，希望能找到一些伪造的痕迹，而最终还真找到了。

这样的邮件头显然是伪造的。电子邮件地址和笔者同事的联络信息（包括FireEye 的徽标）都是这次攻击活动的幕后黑手假造，并用做社会工程学陷阱攻击的一部分。

在回信地址里列出的电子邮件地址是xxxxx228@yahoo.com，这个邮件地址看起来很眼熟，我很确定在之前针对某些公众人物和非政府组织的目标攻击活动中曾经见到过。利用Google 对这个邮件地址进行一些搜索，找到了一些与宗教有关的公众人物信息和佛教活动。但是很显然，这样的目标攻击邮件不可能是这些人发送的，因此这个电子邮件地址可能已经被入侵了。

这个名为“Next Generation Threats.pdf”的附件文件可能会针对漏洞执行攻击，并可能产生其他恶意软件或恶意行为。这个已经被命名为TROJ_PIDIEF.KFR的 PDF 文件设置有密码保护，而密码会用于对文件内容加密，因此我们无法得知关于该漏洞攻击的详情。但仔细观察这个恶意软件后发现，该软件会生成名为JS_DROPPR.KFR的 JavaScript 代码。这个 JavaScript 代码会植入后门程序 BKDR_INJECT.KFR，访问 {BLOCKED}.{BLOCKED}.77.98。而这个 IP 地址看起来是在中国注册的。上述后门程序会将下列信息发往这个 IP 地址：

l 即时通讯软件的帐号密码

l 硬盘和文件列表

l 用户帐号和密码

这起事件，以及我们在 AlienVault 的朋友所报告的利用他们的博客文章，通过复制他们的网页所作出的攻击活动，都证明了目标攻击活动的幕后黑手，对于发动攻击的手段已经是越来越富有创造力了。

＠原文出处：AnotherTargeted Email Campaign Using Researcher Credentials as Ploy

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

       

爱趋势社区--下载/论坛/分享 http://www.iqushi.com

   

官方微博—拿礼品/分享最新IT资讯 http://t.sina.com.cn/trendcloud

   

趋势科技CEO：陈怡桦EvaChen的微博 http://weibo.com/evatrendmicro