Video: Cyber Crime Isn't About Computers: It's About Behavior | Adam Anderson | TEDxGreenville (Desember 2024)
Sebuah operasi spionase cyber yang sedang berlangsung, dijuluki Safe, menargetkan berbagai organisasi di lebih dari 100 negara dengan email phishing tombak, para peneliti Trend Micro menemukan.
Operasi tampaknya telah menargetkan lembaga pemerintah, perusahaan teknologi, outlet media, lembaga penelitian akademik, dan organisasi non-pemerintah, Kylie Wilhoit dan Nart Villeneuve, dua peneliti tren Trend Mikro, menulis di Security Intelligence Blog. Trend Micro percaya lebih dari 12.000 alamat IP unik yang tersebar di 120 atau lebih negara terinfeksi malware. Namun, hanya 71 alamat IP, rata-rata, yang secara aktif berkomunikasi dengan server C&C setiap hari.
"Jumlah aktual korban jauh lebih sedikit daripada jumlah alamat IP yang unik, " kata Trend Micro di whitepaper, tetapi menolak untuk berspekulasi pada angka yang sebenarnya.
Aman Mengandalkan Phear Tombak
Safe terdiri dari dua kampanye phishing tombak yang berbeda menggunakan jenis malware yang sama, tetapi menggunakan infrastruktur perintah-dan-kontrol yang berbeda, tulis para peneliti dalam buku putih. Email satu phishing tombak kampanye memiliki baris subjek merujuk ke Tibet atau Mongolia. Para peneliti belum mengidentifikasi tema umum dalam baris subjek yang digunakan untuk kampanye kedua, yang telah mengklaim korban di India, AS, Pakistan, Cina, Filipina, Rusia dan Brasil.
Safe mengirim email phishing tombak kepada para korban dan menipu mereka agar membuka lampiran jahat yang mengeksploitasi kerentanan Microsoft Office yang sudah ditambal, menurut Trend Micro. Para peneliti menemukan beberapa dokumen Word berbahaya yang, ketika dibuka, diam-diam memasang muatan di komputer korban. Kerentanan eksekusi kode jauh di Windows Common Controls ditambal pada April 2012.
Detail dari Infrastruktur C&C
Dalam kampanye pertama, komputer dari 243 alamat IP unik di 11 negara berbeda terhubung ke server C&C. Dalam kampanye kedua, komputer dari 11.563 alamat IP dari 116 negara berkomunikasi dengan server C&C. India tampaknya menjadi yang paling ditargetkan, dengan lebih dari 4.000 alamat IP yang terinfeksi.
Salah satu server C&C telah diatur sehingga siapa pun dapat melihat isi direktori. Akibatnya, peneliti Trend Micro dapat menentukan siapa korbannya, dan juga mengunduh file yang berisi kode sumber di balik server C&C dan malware. Melihat kode server C&C, tampaknya operator menggunakan kembali kode sumber yang sah dari penyedia layanan Internet di Cina, kata Trend Micro.
Para penyerang terhubung ke server C&C melalui VPN dan menggunakan jaringan Tor, membuatnya sulit untuk melacak di mana penyerang berada. "Keragaman geografis dari server proxy dan VPN membuatnya sulit untuk menentukan asal mereka yang sebenarnya, " kata Trend Micro.
Penyerang Mungkin Telah Menggunakan Malware Cina
Berdasarkan beberapa petunjuk dalam kode sumber, Trend Micro mengatakan kemungkinan malware dikembangkan di Cina. Tidak diketahui pada titik ini apakah operator Aman mengembangkan malware atau membelinya dari orang lain.
"Sementara menentukan niat dan identitas penyerang tetap sulit, kami menilai bahwa kampanye ini ditargetkan dan menggunakan malware yang dikembangkan oleh seorang insinyur perangkat lunak profesional yang mungkin terhubung dengan cybercriminal underground di China, " tulis para peneliti di blog.