Воздержитесь от утверждения, что метод водопоя может вытеснить фишинг в роли метода начальной компрометации в продвинутых атаках. Ряд новых целевых кампаний использовали катастрофу самолета «Малайзийских авиалиний» в качестве приманки для атаки на правительственные структуры США и Азиатско-Тихоокеанского региона.

FireEye сегодня опубликовал исследования по нескольким целевым фишинговым атакам, которые содержали либо зараженные файлы, приложенные к письмам, либо ссылки на вредоносные веб-сайты. Одна китайская группа, admin@338, была замечена в атаках на международные финансовые компании, специализирующиеся на анализе глобальной экономической политики. Двумя днями позже того, как рейс MH-370 был объявлен пропавшим, целевые фишинговые письма были отправлены государственным служащим в Азиатско-Тихоокеанском регионе с приложенным файлом, названным по обозначению рейса пропавшего самолета.

Пользователи, которые кликали по файлу, видели пустой документ, при этом в фоновом режиме устанавливался троянец, одна из вариаций Poison Ivy, который создавал бэкдор на www[.]verizon[.]proxydns[.]com. По данным FireEye, эта группа уже использовала и Poison Ivy, и этот домен в предыдущих атаках.

Poison Ivy уже далеко не новинка, но исследователи-безопасники утверждают, что хакерские группы, особенно связанные с Китаем, продолжают его использовать. Этот зловред представляет собой троянец удаленного доступа, который позволяет злоумышленникам не только устанавливать бэкдор на зараженных машинах, но и доставлять дополнительный вредоносный код, красть документы и системную информацию.

FireEye заявила, что 14 марта отследила вторую атаку группы admin@338, которая была нацелена на «расположенный в США «мозговой центр». По словам исследователей, вредоносный файл, замаскированный под Flash-видео о пропавшем самолете, представлял собой исполняемый файл с иконкой от Flash.

Как сообщили в FireEye, эта версия Poison Ivy подключается к своим серверам управления и контроля на dpmc[.]dynssl[.]com:443 и www[.]dpmc[.]dynssl[.]com:80, а для первой атаки использован фальшивый домен Verizon, также соответствующий IP-адресу, применяемому в этой атаке.

Admin@338 не единственная хакерская группа, использующая малайзийскую трагедию в своих целях. 9 марта вредоносный исполняемый файл, замаскированный под PDF, подключался к серверу управления и контроля на net[.]googlereader[.]pw:443. Жертве показывался фальшивый PDF, изображавший статью CNN об исчезновении рейса.

Еще три обнаруженных образца использовали документ Word или исполнительный файл, замаскированный расширением .doc, запускающий эксплойт для CVE-2012-0158. Они использовались в кампаниях IceFog, NetTraveler и Red October APT, обнаруженных «Лабораторией Касперского». Все эти эксплойты действовали схоже, атакуя высокоуровневых жертв с помощью бэкдоров.

Категории: Уязвимости