觀點

APT惡意程式NetTraveler發威 至少350個組織受到攻擊

2013 / 06 / 17
編輯部
APT惡意程式NetTraveler發威  至少350個組織受到攻擊

魚叉式網路釣魚(spear-phishing)攻擊手法盛行,日前,卡巴斯基實驗室(Kaspersky Lab)發布報告指出,發現一個以此手法進行大規模攻擊的網路間諜活動,目前已知至少350個組織受到攻擊,其分布區域超過40個國家。

謂魚叉式網路釣魚,乃指駭客寄出夾帶惡意附檔的e-mail給攻擊目標以試圖入侵其電腦。以本次攻擊為例,駭客會針對某些軍事機構攻擊寄出類似「報告-亞洲國防開支」和「陸軍網絡安全政策2013」的檔案,如果用戶一時不慎,就很可能淪為受害者。

這次攻擊行動中,駭客使用的惡意程式主要是NetTraveler,其最早出現在2004、2005年間,當時應用在APT攻擊上,到了2010~2013年間則出現大量的樣本數目,NetTraveler具備竊取機密資料、鍵盤側錄,以及擷取電腦中的系統檔案目錄和各種Office和PDF文件的能力。

了使用NetTraveler之外,該集團還同時採用其他惡意軟體,包括Zegost、Saker。這些惡意軟體主要是利用Microsoft Office中的兩個漏洞:CVE- 2012-0158和CVE-2010-3333,雖然微軟已經針對這兩個漏洞發佈修補程式,但很多用戶仍未更新,使得這些病毒依舊橫行無阻。

據卡巴斯基分析結果,目前受害機構包括藏族與維吾爾族的行動主義者、石油公司、科學研究中心、大學、私人組織、政府單位、大使館以及軍事承包商等,若從地區別來看,NetTraveler感染率最高的前三名分別是蒙古、印度和俄羅斯,接下來依次是哈薩克、吉爾吉斯、中國、塔吉克、韓國、西班牙和德國。

於攻擊者,Kaspersky分析可能是來自中國的駭客集團,而且該集團規模約為50個人,其中大部分是使用中國母語並具備英語相關能力。Kaspersky高級安全研究員Kurt Baumgartner指出,該集團積極參與竊取智慧財產權、企業內部作業、通訊錄,以及特定目標的信件往來等資訊,比較特別的是,駭客對於某些特定領域尤其感興趣,像是空間探索、奈米技術、能源生產、核能、雷射、醫藥與通訊,初步研判其目的應為商業利益。

從最近幾次被發現的網路間諜行動來比,可以歸納出駭客善用魚叉式網路釣魚的手法,且皆利用Office漏洞以感染攻擊目標的電腦,即便許多漏洞早已有修補程式,但用戶端未必會立即更新,也才讓這些漏洞有機可乘。未來,這樣的目標攻擊與間諜行為只會有增無減,對使用者來說,也許防不慎防,但一個簡單的漏洞修補更新動作,卻是抵禦攻擊的第一道防線。