Forscher entdecken neue globale Cyberspionage-Operation namens Safe

Sicherheitsforscher von Trend Micro haben eine aktive Cyberspionage-Operation aufgedeckt, die Computer von Regierungsministerien, Technologieunternehmen, Medien und akademischen Einrichtungen bisher kompromittiert hat Forschungseinrichtungen und Nichtregierungsorganisationen aus mehr als 100 Ländern.

Die Operation, die Trend Micro als Safe bezeichnet hat, zielt auf potenzielle Opfer ab, die Spear-Phishing-E-Mails mit bösartigen Anhängen verwenden. Die Forscher des Unternehmens haben die Operation untersucht und am Freitag ein Forschungsdokument mit ihren Ergebnissen veröffentlicht.

Zwei Taktiken entdeckt

Die Untersuchung ergab, dass zwei Gruppen von Command-and-Control- (C & C-) Servern für zwei getrennte Safe-Systeme verwendet wurden Angriff auf Kampagnen, die unterschiedliche Ziele haben, aber die gleiche Malware verwenden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Eine Kampagne verwendet Spear-Phishing-E-Mails mit Inhalten aus Tibet und der Mongolei. Diese E-Mails enthalten.doc-Anhänge, die eine von Microsoft im April 2012 gemeldete Microsoft Word-Schwachstelle ausnutzen.

Zugriffsprotokolle von den C & C-Servern dieser Kampagne ergaben insgesamt 243 eindeutige IP-Adressen (Internet Protocol) aus 11 verschiedenen Ländern. Allerdings fanden die Forscher nur drei Opfer, die zum Zeitpunkt ihrer Untersuchung noch aktiv waren, mit IP-Adressen aus der Mongolei und dem Südsudan.

Die C & C-Server der zweiten Angriffskampagne erfassten 11.563 eindeutige IP-Adressen von Opfern aus 116 verschiedenen Ländern, aber die tatsächliche Zahl der Opfer wird wahrscheinlich viel niedriger sein, sagten die Forscher. Im Durchschnitt sprachen 71 Opfer während der Untersuchung aktiv mit dieser Gruppe von C & C-Servern.

Die in der zweiten Angriffskampagne verwendeten Angriffs-E-Mails wurden nicht identifiziert, aber die Kampagne scheint größer zu sein Umfang und die Opfer geografisch weiter verstreut. Die Top-5-Länder nach Anzahl der IP-Adressen von Opfern sind Indien, die USA, China, Pakistan, die Philippinen und Russland.

Malware auf einer Mission

Die auf den infizierten Computern installierte Malware dient hauptsächlich dazu, Informationen zu stehlen seine Funktionalität kann mit zusätzlichen Modulen erweitert werden. Die Forscher fanden spezielle Plug-in-Komponenten auf den Befehls- und Steuerungsservern sowie Standardprogramme, mit denen gespeicherte Kennwörter aus Internet Explorer und Mozilla Firefox extrahiert werden können, sowie Remote-Desktop-Protokoll-Anmeldeinformationen, die in Windows.

"Während es oft schwierig ist, die Absicht und Identität der Angreifer festzustellen, haben wir festgestellt, dass die Safe-Kampagne zielgerichtet ist und Malware verwendet, die von einem professionellen Softwareentwickler entwickelt wurde, der mit dem Cyberkriminellen-Untergrund in China verbunden sein könnte." Die Trend Micro Forscher sagten in ihrer Arbeit. "Diese Person studierte an einer prominenten technischen Universität im selben Land und scheint Zugriff auf das Quellcode-Repository eines Internetdienstleisters zu haben."

Die Betreiber der C & C-Server griffen sie von IP-Adressen in mehreren Ländern, aber meistens von China und Hongkong, so die Trend Micro-Forscher. "Wir haben auch die Verwendung von VPNs und Proxy-Tools, einschließlich Tor, gesehen, die zur geografischen Vielfalt der IP-Adressen der Betreiber beigetragen haben."

Artikel wurde um 9:36 Uhr aktualisiert, um anzuzeigen, dass Trend Micro den Namen geändert hat die Cyberspionageoperation, die Gegenstand der Geschichte war, und die Verbindung zu ihrem Forschungsbericht.