返回新闻列表

十周年纪念日:NetTraveler升级来袭

        卡巴斯基实验室发现,与升级版“红星”APT(高级可持续性威胁)后门程序相关的攻击事件有所攀升。

        2014年,全球网络间谍活动“Operation NetTraveler”的幕后者迎来了该活动的十周年纪念日。尽管最早的样本似乎编写于2005年,但是,某些线索表明这一恶意活动始于2004年。十年间,NetTraveler攻击了40国家逾350名备受瞩目的受害者。今年,卡巴斯基实验室观察到,利用升级版NetTraveler后门程序攻击维吾尔和西藏支持者的事件出现了增长。而升级版后门程序采用了新的加密手段。调查期间,卡巴斯基实验室发现,7个C&C服务器分布在香港,另外还有一个位于美国。

不同行业近期遭受NetTraveler攻击的情况

        就在最近这段时间,网络间谍活动主要围绕以下行业反复展开攻击:外交(32%)、政府(19%)、私有单位(11%)、军事(9%)、工业及基础设施(7%)、航空(6%)、研究(4%)、激进组织(3%)、金融(3%)、IT(3%)、医疗(2%)以及媒体(1%)。

感染手段:一种较新的后门程序

        按照该恶意团伙的传统,攻击活动起初会通过鱼叉式网络钓鱼邮件攻击激进主义者。这些邮件包含两种附件,一个为非恶意的JPG文件,另一个Microsoft Word .DOC文件则可能含有微软办公软件(Microsoft Office)的CVE-2012-0158漏洞利用程序。卡巴斯基实验室判定,该恶意网页存档文件创建于使用简体中文版微软办公软件的系统中。

        如果该漏洞利用程序运行在易受攻击的微软办公软件版本中,它会加载主要组件Trojan-Spy。相比“此前”的NetTraveler样本,这一恶意软件配置文件的格式略显不同。显而易见,NetTraveler的幕后开发者已开始采取行动,试图隐藏该恶意软件的配置。

        成功完成注入之后,NetTraveler会绕开常见文件类型,如DOC、XLS、PPT、RTF和PDF。

发现C&C服务器

        卡巴斯基实验室发现了若干命令与控制(C&C)服务器。在被发现的8个恶意服务器中,7个服务器的注册公司为Shanghai Meicheng Technology,IP地址则分布在香港(Trillion Company、Hongkong Dingfengxinhui Bgp Datacenter、Sun Network Limited以及Hung Tai International Holdings)。而另一服务器则由Todaynic.com Inc注册,IP地址在美国(Integen Inc)。卡巴斯基实验室的专家建议在防火墙中禁用所有的恶意宿主文件。

        “在调查NetTraveler攻击时,我们计算了NetTraveler C&C服务器中被窃数据的数量已逾220亿字节。这是一个持续不断的网络间谍活动,并且针对激进主义者的最后几起攻击表明,该活动很可能按照这种方式继续下一个十年。无需那么长的时间,最复杂的威胁就会现身IT安全公司的“手术台”上。但是,NetTraveler的例子告诉我们,疾病可能长期处于雷达的监测外”,卡巴斯基实验室首席安全研究员Kurt Baumgartner表示。

避免升级版NetTraveler恶意软件的安全小贴士

  • 在防火墙中禁用上述提及的宿主文件
  • 升级Microsoft Windows和Microsoft Office至最新版本
  • 请勿点击链接以及打开陌生人发送的附件
  • 使用一款开发与修复周期比微软Internet Explorer更快的安全浏览器(如Google Chrome)

        卡巴斯基实验室的产品已经检测并清除了NetTraveler Toolkit所使用的恶意程序及其变种,包括Trojan-Dropper.Win32.Agent.lifr、Trojan-Spy.Win32.TravNet、Trojan-Spy.Win32.TravNet.qfr、Trojan.BAT.Tiny.b以及Downloader.Win32.NetTraveler。

        卡巴斯基实验室的产品还检测出了鱼叉式网络钓鱼攻击中的Microsoft Office漏洞利用程序,包括Exploit.MSWord.CVE-2010-333、Exploit.Win32.CVE-2012-0158和Exploit.MSWord.CVE-2012-0158.db等。

        请访问Securelist.com阅读更多博文,了解有关NetTraveler活动的更多信息。

        网络威胁实时地图

补充阅读