Undersøgelse af kinesiske hackere er dangled som phishing agn

Attackere bruger falske versioner af en nyligt udgivet rapport om en kinesisk cyberespionagegruppe som agn i nye spydsfiskangreb angående japanske og kinesiske brugere.

Rapporten var udgivet tirsdag af sikkerhedsfirma Mandiant og dokumenterer i høj grad de cyberespionagekampagner, der blev gennemført siden 2006 af en hackergruppe kendt som Kommentar Crew mod mere end 100 virksomheder og organisationer fra forskellige brancher.

Mandiant refererer til gruppen som APT1 (Advanced Persistent Trussel 1) og hævder i rapporten, at det sandsynligvis er en hemmelig Shanghai-baseret cyberspionage enhed af den kinesiske hær-People's Liberation Army (PLA) -kodenavnet "Unit 61398."

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Den kinesiske regering har afvist Mandiants krav som grundløse. Rapporten modtog imidlertid meget opmærksomhed fra personer i it-sikkerhedssektoren såvel som fra offentligheden.

Det ser ud til, at denne reklame nu har ført til, at angribere beslutter at bruge rapporten som agn i nye målrettede angreb.

Malware masquerades som Mandiant rapport

To forskellige phishing-angreb angreb blev opdaget i sidste uge ved hjælp af e-mails med ondsindede vedhæftede filer, der maskerede som Mandiant-rapporten, sagde Aviv Raff, sikkerhedschef for Seculert. angribe målrettede japansktalende brugere og involverede e-mails med en vedhæftet fil kaldet Mandiant.pdf. Denne PDF-fil udnytter en sårbarhed i Adobe Reader, der blev patcheret af Adobe i en nødopdatering onsdag, sagde sikkerhedsforskere fra Seculert i et blogindlæg.

Den malware, der installeres af exploiteren, forbinder til en kommando- og kontrolserver, der er hostet i Korea, men kontakter også nogle japanske hjemmesider, sandsynligvis i et forsøg på at lure sikkerhedsprodukter, sagde Seculert-forskerne.

Symantec har også opdaget og analyseret angrebsfiskangreb. "E-mailen hævder at være fra nogen i medierne, der anbefaler rapporten," siger Symantec-forsker Joji Hamada i et blogindlæg. Det ville imidlertid være tydeligt for en japansk person, at e-mailen ikke var skrevet af en indfødt japansk højttaler, sagde han.

Hamada påpegede, at lignende taktikker er blevet brugt tidligere. I en hændelse tilbage i 2011 brugte hackere et forskningspapir om målrettede angreb udgivet af Symantec som agn. "De gjorde det ved at spammede mål med den faktiske hvidbog sammen med malware gemt i en arkiv vedhæftet fil," sagde Hamada.

Udnytter gammel Adobe-fejl

Det andet spejle-phishing-angreb opdages målrettet kinesisktalende brugere og bruger en ondsindet vedhæftet fil kaldet "Mandiant_APT2_Report.pdf."

Ifølge en analyse af PDF-filen af ​​forsker Brandon Dixon fra sikkerhedskonsulentfirmaet 9b + udnyttes dokumentet en ældre Adobe Reader-sårbarhed, der blev opdaget og patched i 2011.

Malware installeret på systemet etablerer en forbindelse til et domæne, der i øjeblikket peger på en server i Kina, sagde dixon via e-mail. "Malware giver angriberne mulighed for at udføre kommandoer på offerets system."

Domænenavnet, der blev kontaktet af denne malware, blev også brugt tidligere i angreb, der målrettede tibetanske aktivister, sagde Seculert's Raff. De ældre angreb installerede både Windows og Mac OS X malware, sagde han.

Greg Walton, en forsker fra MalwareLab, et sikkerhedsudstyr, der sporer politisk motiverede malwareangreb, sagde på Twitter, at Mandiant-themed spear-phishing-angreb målrettede journalister i Kina. Disse oplysninger kunne ikke bekræftes af Raff eller Dixon, der sagde, at de ikke har kopier af de originale spam-e-mails, kun af den ondsindede vedhæftning, de indeholdt.