日前,安全公司FireEye收集了大量的证据,发现了一起典型APT攻击的网络间谍活动,其中使用了恶意软件“Sanny”,FireEye没有透露该间谍活动的详细信息,但经证实,该起间谍活动针对的目标80%都是俄罗斯教育、电信、军工、IT、航空航天等行业。 FireEye公司恶意软件智能实验室研究人员Alex Lanstein和Ali Islam提到,虽然没有确凿的证据表明攻击来自韩国,但是他们发现了许多行为表明攻击源很大可能是来自韩国,如下: 1:SMTP mail服务器和CnC服务器在韩国。2:发现的一些文档中使用的字体为“Batang”和"KP CheongPong",来自韩国。3:攻击者利用韩国一个信息发布平台nboard.net发送C&C控制指令。4:通过发送邮件的邮箱jbaksanny,搜索到一些Jbaksan用户创建的kr的wiki页面FireEye公司表示,种种迹象表明,这是一起有预谋的国家级别的网络攻击,攻击者利用该恶意软件可以从被感染的计算机中获取outlook数据、firefox、以及hotmail、facebook等网站用户名密码。被窃取的数据经过编码之后发送到CnC服务器,每两天清理一次。
截止报道前,C&C服务器仍在持续运作,FireEye表示调查仍在继续。
​ 0
|