安全研究人员目前已经发现两种新型针对性攻击活动,专门针对日本、中国以及其它亚洲地区的企业目标。其中之一利用的正是上周刚刚被曝光的IE零日漏洞。
根据安全企业FireEye公司的调查,针对“日本目标”的DeputyDog攻击指向的恰好是上周二微软刚刚发布修复补丁的CVE-2013-3893 IE漏洞。
该攻击首次于今年八月末被FireEye公司所发现,它被托管在位于香港的一台服务器上并被伪装成一个.jpg文件。安全人员随后发现该恶意软件开始与位于韩国的主机相连通。
FireEye公司同时宣称,应对DeputyDog恶意软件负责的正是今年二月曾成功攻克安全企业Bit9的犯罪团伙,这是因为前后两次事件所使用的IP地址都为180.150.228.102。
该公司做出了如下详细说明:
根据Bit9公司的反馈,攻击者在成功侵入企业网络后留下了两个HiKit木马的变种版本。其中之一尝试与一台域名为downloadmp3[.]servemp3[.]com命令与控制服务器相连,解析得出的IP地址为66.153.86.14。这条IP地址在2012年3月6号到2012年4月22号之间也曾托管着www[.]yahooeast[.]net这一臭名昭著的恶意域名。
yahooeast[.]net这个域名由654@123.com邮箱所注册。而该邮件地址同时也被用于注册blankchair[.]com——通过解析,我们发现该网站同样指向180.150.228.102 IP地址,而且充当着与58dc05118ef8b11dcb5f5c596ab772fd相关联的回叫信号,并与攻击活动所使用的CVE-2013-3893零日漏洞密切相关。
上星期,赛门铁克公司的研究人员宣称,Bit9事件的攻击者们可能来自组织严密的中国黑客团体Hidden Lynx。该团体还曾经介入过2009年因涉及谷歌及其它三十多家技术企业而广为人知的“极光行动”。
与此同时,来自Tread Micro公司的威胁分析师们强调称,目前一个新的恶意软件家族已经被用于组织针对亚洲各主要政府机构的攻击活动。
EvilGrab这一名称的由来正是由于其捕捉音频及视频文件的设计思路。它利用截屏及键盘输入记录等方式从受感染设备中获取信息,并将结果上传至远程服务器端。
该恶意软件的主要针对目标为中国(36%)与日本(16%)的组织机构,其中89%的受害者来自政府部门。
有趣的是,EvilGrab还拥有一套精心构建的窃取机制。根据Trend Micro的研究结果,该机制能够从最具人气的中国实时通信应用腾讯QQ中窥探资讯。
这一发现已经被纳入安全供应商整理的首份针对性攻击季度报告。