Kajian hacker Cina digantungkan sebagai umpan phishing

Penyerang menggunakan versi palsu laporan yang baru-baru ini dikeluarkan mengenai kumpulan cyberpegangan Cina sebagai umpan dalam serangan tombak baru yang menargetkan pengguna Jepun dan Cina.

Laporan itu yang dikeluarkan Selasa oleh firma keselamatan Mandiant dan dokumen-dokumen yang terperinci mengenai kempen cyberpresence yang dijalankan sejak 2006 oleh kumpulan penggodam yang dikenali sebagai Crew Komen terhadap lebih daripada 100 syarikat dan organisasi dari industri yang berbeza.

Mandiant merujuk kepada kumpulan sebagai APT1 (Advanced Persistent Ancaman 1) dan tuntutan dalam laporan itu kemungkinan unit rahsia Shanghai yang berpangkalan di Shanghai Tentera China-Tentera Pembebasan Rakyat (PLA) bernama kod "Unit 61398."

[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda Kerajaan China telah menolak tuntutan Mandiant sebagai tidak berasas. Bagaimanapun, laporan itu mendapat banyak perhatian daripada orang-orang dalam industri keselamatan IT, dan juga dari orang awam.

Nampaknya publisiti ini kini telah membawa kepada penyerang memutuskan untuk menggunakan laporan itu sebagai umpan dalam serangan baru yang disasarkan.

Dua serangan tombak yang berbeza ditemui pada minggu lalu menggunakan e-mel dengan lampiran jahat yang menyamar sebagai laporan Mandiant, kata Aviv Raff, ketua pegawai teknologi keselamatan Seculert.

Satu menyerang sasaran pengguna berbahasa Jepun dan melampirkan e-mel dengan lampiran yang disebut Mandiant.pdf. Fail PDF ini mengeksploitasi kerentanan dalam Adobe Reader yang ditambal oleh Adobe dalam kemas kini kecemasan Rabu, penyelidik keselamatan dari Seculert berkata dalam catatan blog.

Malware yang dipasang oleh eksploit ini menghubungkan ke pelayan arahan dan kawalan yang dihoskan dalam Korea, tetapi juga menghubungi beberapa laman web Jepun, mungkin dalam cubaan untuk menipu produk keselamatan, kata penyelidik Seculert.

Symantec juga telah mengesan dan menganalisis serangan tombak-phishing. "E-mail itu berasal daripada seseorang dalam media yang mengesyorkan laporan itu," kata penyelidik Symantec Joji Hamada dalam jawatan blognya. Walau bagaimanapun, ia akan menjadi jelas bagi orang Jepun bahawa e-mel itu tidak ditulis oleh seorang penceramah asli Jepun, katanya.

Hamada menegaskan bahawa taktik serupa telah digunakan pada masa lalu. Dalam satu kejadian pada tahun 2011, penggodam menggunakan kertas penyelidikan tentang serangan sasaran yang diterbitkan oleh Symantec sebagai umpan. "Mereka melakukan ini dengan menyasarkan sasaran dengan whitepaper sebenar bersama-sama dengan malware yang tersembunyi di lampiran arkib," kata Hamada.

Mengeksploitasi kelemahan Adobe lama

Serangan tombak kedua phishing mengesan sasaran pengguna berbahasa Cina dan menggunakan berniat jahat lampiran yang disebut "Mandiant_APT2_Report.pdf."

Menurut analisa fail PDF oleh penyelidik Brandon Dixon firma perundingan keselamatan 9b +, dokumen ini mengeksploitasi kelemahan Adobe Reader yang telah ditemui dan ditambal pada 2011.

Malware dipasang pada sistem mewujudkan sambungan ke domain yang kini menunjuk ke pelayan di China, kata Dixon melalui e-mel. "Perisian malware ini menyediakan penyerang dengan keupayaan untuk melaksanakan arahan pada sistem mangsa."

Nama domain yang dihubungi oleh malware ini juga digunakan pada masa lalu dalam serangan yang menyasarkan aktivis Tibet, kata Seculert's Raff. Serangan yang lebih lama dipasang kedua-dua Windows dan Mac OS X malware, katanya.

Greg Walton, seorang penyelidik dari MalwareLab, pakaian keselamatan yang menyerang serangan malware bermotifkan politik, mengatakan di Twitter bahawa serangan tombak bertema Mandiant bertarget disasarkan wartawan di China. Maklumat ini tidak dapat disahkan oleh Raff atau Dixon, yang mengatakan bahawa mereka tidak mempunyai salinan e-mel spam asal, hanya dari lampiran jahat yang terkandung di dalamnya.