Video: Cyberspazio: un nuovo fronte di guerra (Novembre 2024)
Un'operazione di cyber-spionaggio in corso, soprannominata Safe, ha preso di mira varie organizzazioni in oltre 100 paesi con e-mail di phishing, hanno scoperto i ricercatori di Trend Micro.
L'operazione sembra aver preso di mira agenzie governative, aziende tecnologiche, media, istituti di ricerca accademica e organizzazioni non governative, Kylie Wilhoit e Nart Villeneuve, due ricercatori sulle minacce di Trend Micro, hanno scritto sul blog di Security Intelligence. Trend Micro ritiene che oltre 12.000 indirizzi IP univoci distribuiti in circa 120 paesi siano stati infettati dal malware. Tuttavia, solo 71 indirizzi IP, in media, comunicavano attivamente con i server C&C ogni giorno.
"Il numero effettivo di vittime è molto inferiore al numero di indirizzi IP univoci", ha detto Trend Micro nel suo white paper, ma ha rifiutato di speculare su una cifra reale.
Si basa sul phishing di Spear
Safe è costituito da due distinte campagne di phishing spear che utilizzano lo stesso ceppo di malware, ma che utilizzano diverse infrastrutture di comando e controllo, i ricercatori hanno scritto nel white paper. Le e-mail di phishing di lancia di una campagna avevano argomenti riferiti al Tibet o alla Mongolia. I ricercatori non hanno ancora identificato un tema comune nelle linee tematiche utilizzate per la seconda campagna, che ha rivendicato vittime in India, Stati Uniti, Pakistan, Cina, Filippine, Russia e Brasile.
Sicuro ha inviato e-mail di spear phishing alle vittime e le ha indotte ad aprire un allegato dannoso che ha sfruttato una vulnerabilità di Microsoft Office già modificata, secondo Trend Micro. I ricercatori hanno trovato diversi documenti di Word dannosi che, una volta aperti, installavano silenziosamente un payload sul computer della vittima. La vulnerabilità legata all'esecuzione di codice in modalità remota nei controlli comuni di Windows è stata corretta nell'aprile 2012.
Dettagli dell'infrastruttura C&C
Nella prima campagna, i computer di 243 indirizzi IP univoci in 11 paesi diversi sono stati collegati al server C&C. Nella seconda campagna, i computer di 11.563 indirizzi IP di 116 paesi diversi hanno comunicato con il server C&C. L'India sembrava essere la più mirata, con oltre 4.000 indirizzi IP infetti.
Uno dei server C&C è stato creato in modo che chiunque potesse visualizzare il contenuto delle directory. Di conseguenza, i ricercatori di Trend Micro sono stati in grado di determinare chi fossero le vittime e anche di scaricare file contenenti il codice sorgente dietro il server C&C e il malware. Osservando il codice del server C&C, sembra che gli operatori abbiano riproposto il codice sorgente legittimo da un fornitore di servizi Internet in Cina, ha affermato Trend Micro.
Gli aggressori si stavano connettendo al server C&C tramite VPN e utilizzavano la rete Tor, rendendo difficile tracciare la base degli aggressori. "La diversità geografica dei server proxy e delle VPN ha reso difficile determinare la loro vera origine", ha affermato Trend Micro.
Gli aggressori possono aver utilizzato malware cinese
Sulla base di alcuni indizi nel codice sorgente, Trend Micro ha affermato che è possibile che il malware sia stato sviluppato in Cina. A questo punto non è noto se gli operatori Safe abbiano sviluppato il malware o acquistato da qualcun altro.
"Mentre determinare l'intento e l'identità degli aggressori rimane difficile, abbiamo valutato che questa campagna è mirata e utilizza malware sviluppato da un ingegnere informatico professionista che potrebbe essere collegato al crimine informatico in Cina", hanno scritto i ricercatori sul blog.