2004年,席卷全球的网络间谍活动NetTraveler开始行动。十年间,NetTraveler攻击了40国家逾350名备受瞩目的受害者。今年,卡巴斯基实验室发现,利用升级版NetTraveler后门程序攻击维吾尔和西藏支持者的事件出现了增长。
根据卡巴斯基实验室的调查,网络间谍活动近期主要围绕以下行业反复展开攻击:外交(32%)、政府(19%)、私有单位(11%)、军事(9%)、工业及基础设施(7%)、航空(6%)、研究(4%)、激进组织(3%)、金融(3%)、IT(3%)、医疗(2%)以及媒体(1%)。
按照NetTraveler幕后团伙的传统,攻击活动起初会通过鱼叉式网络钓鱼邮件攻击激进主义者。这些邮件包含两种附件,一个为非恶意的JPG文件,另一个Microsoft Word .DOC文件则可能含有微软办公软件(Microsoft Office)的CVE-2012-0158漏洞利用程序。如果该漏洞利用程序运行在易受攻击的微软办公软件版本中,它会加载主要组件Trojan-Spy。相比“此前”的NetTraveler样本,这一恶意软件配置文件的格式略显不同。显而易见,NetTraveler的幕后开发者已开始采取行动,试图隐藏该恶意软件的配置。
针对这一重大发现,卡巴斯基实验室首席安全研究员Kurt Baumgartner表示:“在调查NetTraveler攻击时,我们计算了NetTraveler C&C服务器中被窃数据的数量已逾220亿字节。这是一个持续不断的网络间谍活动。针对激进主义者的最后几起攻击表明,该活动很可能按照这种方式继续下一个十年。无需那么长的时间,最复杂的威胁就会现身IT安全公司的“手术台”上。但是,NetTraveler的例子告诉我们,疾病可能长期处于雷达的监测外。”
为了避免升级版NetTraveler恶意软件的入侵,卡巴斯基实验室建议大家在防火墙中禁用宿主文件,升级Microsoft Windows和Microsoft Office至最新版本,并且使用一款开发修复周期比微软Internet Explorer更快的安全浏览器,如Google Chrome。此外,请勿点击链接以及打开陌生人发送的附件。
据悉,卡巴斯基实验室的产品已经检测和清除了NetTraveler Toolkit所使用的恶意程序及其变种,并且检测出了鱼叉式网络钓鱼攻击中的Microsoft Office漏洞利用程序。