100여 개국을 대상으로 한 사이버 스파이 캠페인

Safe라고 불리는 지속적인 사이버 스파이 활동은 스피어 피싱 이메일을 통해 100여 개국의 다양한 조직을 대상으로했다고 Trend Micro 연구원들은 밝혔다.

이 작전은 2 개의 트렌드 마이크로 위협 연구원 인 카일리 윌 호이트 (Kylie Wilhoit)와 나트 빌 뇌브 (Nart Villeneuve)가 정부 기관, 기술 회사, 언론 매체, 학술 연구 기관 및 비정부기구를 대상으로 한 것으로 보인다. 트렌드 마이크로는 120 여개 국가에 퍼져있는 12, 000 개 이상의 고유 한 IP 주소가 맬웨어에 감염된 것으로 믿고 있습니다. 그러나 매일 평균 71 개의 IP 주소 만 C & C 서버와 활발하게 통신했습니다.

트렌드 마이크로는 백서에서 "실제 피해자의 수는 고유 한 IP 주소의 수보다 훨씬 적다"고 지적했지만 실제 수치에 대해서는 추측하지 않았다.

스피어 피싱에 대한 안전한 의존

Safe는 동일한 종류의 맬웨어를 사용하지만 서로 다른 명령 및 제어 인프라를 사용하는 두 개의 개별 스피어 피싱 캠페인으로 구성되어 있다고 백서에 썼습니다. 한 캠페인의 스피어 피싱 이메일에는 티베트 또는 몽골을 나타내는 제목이 있습니다. 연구원들은 아직 두 번째 캠페인에 사용 된 제목 줄에서 공통 주제를 확인하지 않았는데, 이 주제는 인도, 미국, 파키스탄, 중국, 필리핀, 러시아 및 브라질의 피해자를 주장했습니다.

Trend Micro에 따르면 Safe는 스피어 피싱 이메일을 피해자에게 전송하여 이미 패치 된 Microsoft Office 취약점을 악용하는 악성 첨부 파일을 열도록 유도했습니다. 연구원들은 열릴 때 피해자의 컴퓨터에 페이로드를 자동으로 설치하는 몇 가지 악성 Word 문서를 발견했습니다. Windows Common Controls의 원격 코드 실행 취약점은 2012 년 4 월에 패치되었습니다.

C & C 인프라 세부 사항

첫 번째 캠페인에서 11 개 국가의 243 개의 고유 한 IP 주소를 가진 컴퓨터가 C & C 서버에 연결되었습니다. 두 번째 캠페인에서는 116 개 국가의 11, 563 개의 IP 주소 컴퓨터가 C & C 서버와 통신했습니다. 인도는 4, 000 개가 넘는 감염된 IP 주소로 가장 표적이 된 것으로 보입니다.

누구나 디렉토리의 내용을 볼 수 있도록 C & C 서버 중 하나가 설정되었습니다. 결과적으로 트렌드 마이크로 연구원들은 피해자가 누구인지 파악하고 C & C 서버와 멀웨어 뒤에 소스 코드가 포함 된 파일을 다운로드 할 수있었습니다. 트렌드 마이크로는 C & C 서버의 코드를 살펴보면 운영자가 중국의 인터넷 서비스 제공 업체의 합법적 인 소스 코드를 용도 변경 한 것으로 보인다고 밝혔다.

공격자는 VPN을 통해 C & C 서버에 연결하고 Tor 네트워크를 사용하여 공격자의 기반을 추적하기가 어려웠습니다. 트렌드 마이크로는“프록시 서버와 VPN의 지리적 다양성은 실제 출처를 결정하기가 어려웠다”고 말했다.

공격자들이 중국 악성 코드를 사용했을 수 있습니다

트렌드 마이크로는 소스 코드의 힌트를 바탕으로 중국에서 악성 코드가 개발되었을 가능성이 있다고 밝혔다. 안전 운영자가 맬웨어를 개발했는지 또는 다른 사람으로부터 구입했는지 여부는 현재 알려져 있지 않습니다.

"공격자의 의도와 아이덴티티를 결정하는 것은 여전히 ​​어려운 일이지만, 우리는이 캠페인이 중국의 사이버 범죄와 연결될 수있는 전문 소프트웨어 엔지니어가 개발 한 멀웨어를 대상으로하고 있다고 평가했습니다."