Studiul hackerilor chinezi este încurcat ca momeală de phishing

Atacatorii folosesc versiuni false ale unui raport recent publicat despre un grup cyberespionage chinez ca momeală în atacurile noi de tip phishing care vizează utilizatorii japonezi și chinezi. lansat marți de compania de securitate Mandiant și documentează în detaliu campaniile de cyberespionage desfășurate în 2006 de către un grup de hackeri cunoscuți sub numele de Echipa de Comment împotriva mai mult de 100 de companii și organizații din diferite industrii.

Mandiant se referă la grup ca APT1 Amenințarea 1) și afirmă în raport că este probabil o unitate secretă de cyberespionage din cadrul armatei chineze - Armata de Eliberare a Poporului (PLA) - numită "Unitatea 61398".

Citirea ulterioară: Cum să eliminați programele malware de pe PC-ul Windows]

Guvernul chinez a respins cererile lui Mandiant ca neîntemeiate. Cu toate acestea, raportul a primit o atenție deosebită din partea oamenilor din industria de securitate IT, precum și din partea publicului larg. Se pare că această publicitate a dus acum la atacatorii care au decis să utilizeze raportul ca momeală în noile atacuri direcționate.

Au fost descoperite două atacuri de phishing diferite prin e-mailuri cu atașamente rău intenționate care au fost mascate ca raport Mandiant, a declarat Aviv Raff, șef de tehnologie al firmei de securitate Seculert. a atacat utilizatorii vorbitori de limbă japoneză și a implicat e-mailuri cu un atașament numit Mandiant.pdf. Acest fișier PDF exploatează o vulnerabilitate în Adobe Reader, care a fost modificată de Adobe într-o actualizare de urgență miercuri, au declarat cercetători de securitate de la Seculert într-un post pe blog.

Malware-ul instalat de exploit se conectează la un server de comandă și control găzduit Coreea, dar contactează și câteva site-uri web japoneze, probabil într-o încercare de a păcăli produsele de securitate, au spus cercetătorii de la Seculert.

Symantec a detectat și a analizat și atacul de tip phishing. "E-mailul se referă la cineva din mass-media care recomandă raportul", a declarat cercetătorul Symantec, Joji Hamada, într-un post de pe blog. Cu toate acestea, ar fi evident pentru o persoană japoneză că e-mailul nu a fost scris de un vorbitor nativ japonez, a spus el.

Hamada a subliniat că tactici similare au fost folosite în trecut. Într-un incident din 2011, hackerii au folosit o lucrare de cercetare despre atacurile direcționate publicate de Symantec ca momeală. "Ei au făcut acest lucru prin trimiterea de spam-uri către albume și malware ascunse într-un atașament de arhivă", a declarat Hamada.

Exploatarea vechiului defect Adobe

atașament numit "Mandiant_APT2_Report.pdf".

Potrivit unei analize a fișierului PDF realizat de cercetătorul Brandon Dixon al firmei de consultanță pentru securitate 9b +, documentul exploatează o vulnerabilitate Adobe Reader mai veche, care a fost descoperită și patchată în 2011.

instalat pe sistem, stabilește o conexiune cu un domeniu care în prezent indică un server din China, a declarat Dixon prin e-mail. "Malware-ul oferă atacatorilor posibilitatea de a executa comenzi pe sistemul victimei."

Numele de domeniu contactat de acest malware a fost, de asemenea, folosit în trecut în atacurile care vizau activiștii tibetani, a spus Raff, Seculert. Aceste atacuri mai vechi au instalat malware Windows și Mac OS X.

Greg Walton, un cercetător de la MalwareLab, un echipament de securitate care monitorizează atacurile malware motivate politic, a declarat pe Twitter că atacul de phishing cu tematică Mandiant a vizat jurnaliștii in China. Această informație nu a putut fi confirmată de Raff sau de Dixon, care au spus că nu au copii ale e-mail-urilor originale cu spam, ci doar atașamentul malware pe care l-au conținut.