2013年5月底,TrendMicro的Nart Villeneuve又公布了一个APT***,根据恶意代码文件中的词命名为“Safe”。根据报告,Safe的主要***对象为政府机关、科技公司、媒体、研究机构,以及非政府组织。已知有近12,000个受害IP,受害者遍布超过 100个国家,平均每天有71个受害IP连接C&C 服务器,其中主要受害者IP来源国集中在印度、美国、中国以及巴基斯坦。

Safe***的发起很经典,那就是定向钓鱼(spear-phishing)。典型的是发送给受害者一个包含名为

NBC Interview_Excerpts.doc的附件的邮件。这个附件中有一个利用了CVE-2012-0158等微软Office漏洞的恶意代码。一旦打开,如果受害者的WORD没有及时打补丁的话,就会中招。

091904735.png

恶意代码释放后,会开始通过HTTP POST跟C&C进行通讯。而C&C服务器端代码使用了PHP和MySQL来编写。

接下来,受害者电脑会通过C&C下载更多的***软件,以便***者实施更多的***行为。

通过对Safe的恶意代码的源代码分析,***软件的开发者可能来自中国。

091936759.png


【参考】

TrendMicro:针对以色列美国等国的基于Xtreme RAT的APT***

McAfee:High Roller金融欺诈行动采用了创新性技术

TrendMicro:针对东亚政府和台湾电子企业的APT***IXESHE

Flame解读

Anonymous几天之内攻陷500多个中国网站

TrendMicro:针对印日的LuckyCat***

symantec:硝基***针对化工厂商

针对前独联体国家以及印度、中国的APT***案例

日本抑或也已遭受了APT***?

Stuxnet2.0现身欧洲

APT***实例研究与企业现有防御体系缺陷分析

美国五角大楼称24000份敏感文件透过网络泄露

连线杂志:史上最强的恶意软件Stuxnet揭秘