2013年5月底,TrendMicro的Nart Villeneuve又公布了一个APT***,根据恶意代码文件中的词命名为“Safe”。根据报告,Safe的主要***对象为政府机关、科技公司、媒体、研究机构,以及非政府组织。已知有近12,000个受害IP,受害者遍布超过 100个国家,平均每天有71个受害IP连接C&C 服务器,其中主要受害者IP来源国集中在印度、美国、中国以及巴基斯坦。
Safe***的发起很经典,那就是定向钓鱼(spear-phishing)。典型的是发送给受害者一个包含名为
NBC Interview_Excerpts.doc的附件的邮件。这个附件中有一个利用了CVE-2012-0158等微软Office漏洞的恶意代码。一旦打开,如果受害者的WORD没有及时打补丁的话,就会中招。
恶意代码释放后,会开始通过HTTP POST跟C&C进行通讯。而C&C服务器端代码使用了PHP和MySQL来编写。
接下来,受害者电脑会通过C&C下载更多的***软件,以便***者实施更多的***行为。
通过对Safe的恶意代码的源代码分析,***软件的开发者可能来自中国。
【参考】
TrendMicro:针对以色列美国等国的基于Xtreme RAT的APT***
McAfee:High Roller金融欺诈行动采用了创新性技术
TrendMicro:针对东亚政府和台湾电子企业的APT***IXESHE
转载于:https://blog.51cto.com/yepeng/1214318