Windows

การดำเนินงานซึ่ง บริษัท เทรนด์ไมโครได้ขนานนามว่า Safe มุ่งเป้าไปที่ผู้ที่ตกเป็นเหยื่อที่อาจเป็นภัยคุกคามโดยใช้อีเมลฟิชชิ่งหอกกับสิ่งที่แนบที่เป็นอันตราย นักวิจัยของ บริษัท ได้ตรวจสอบการดำเนินงานและตีพิมพ์ผลงานวิจัยที่มีการค้นพบของพวกเขาในวันศุกร์

เวก้าผับ ฉบับพิเศษ

เวก้าผับ ฉบับพิเศษ

สารบัญ:

Anonim

การตรวจสอบพบว่ามีสองชุดของเซิร์ฟเวอร์คำสั่งและควบคุม (C & C) ที่ใช้สำหรับสิ่งที่ดูเหมือนจะเป็น โจมตีด้วยแคมเปญที่มีเป้าหมายแตกต่างกัน แต่ใช้มัลแวร์เดียวกัน

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

แคมเปญหนึ่งใช้อีเมลฟิชชิ่งหอกที่มีเนื้อหาเกี่ยวข้องกับทิเบตและมองโกเลีย อีเมลเหล่านี้มีไฟล์แนบ. doc ที่ใช้ช่องโหว่ Microsoft Word ที่ patched โดย Microsoft ในเดือนเมษายน 2012.

บันทึกการเข้าถึงที่เก็บรวบรวมจากเซิร์ฟเวอร์ C & C ของแคมเปญนี้พบ 243 ที่อยู่ IP (Internet Protocol) ที่ไม่ซ้ำกันจาก 11 ประเทศ อย่างไรก็ตามนักวิจัยพบว่ามีเพียงสามรายที่ยังคงใช้งานอยู่ในขณะที่ทำการสืบสวนโดยมีที่อยู่ IP จากประเทศมองโกเลียและซูดานใต้

เซิร์ฟเวอร์ C & C ที่สอดคล้องกับแคมเปญการโจมตีที่สองบันทึก 11,563 ที่อยู่ IP ของเหยื่อที่ไม่ซ้ำกันจาก 116 ประเทศ แต่ตัวเลขที่แท้จริงของเหยื่อมีแนวโน้มที่จะต่ำกว่ามากนักวิจัยกล่าวว่า โดยเฉลี่ย 71 คนที่เป็นเหยื่อได้สื่อสารกับเซิร์ฟเวอร์ C & C ชุดนี้ในช่วงเวลาใดเวลาหนึ่งระหว่างการสืบสวนกล่าวว่า

อีเมลโจมตีที่ใช้ในแคมเปญโจมตีครั้งที่สองยังไม่ได้รับการระบุ แต่แคมเปญนี้มีขนาดใหญ่ขึ้น ขอบเขตและผู้ที่ตกเป็นเหยื่อกระจายอยู่ทั่วไปในทางภูมิศาสตร์ ห้าอันดับแรกของประเทศโดยหมายเลขที่อยู่ IP ของเหยื่อ ได้แก่ อินเดียสหรัฐฯจีนปากีสถานฟิลิปปินส์และรัสเซีย

มัลแวร์ในภารกิจ

มัลแวร์ที่ติดตั้งในคอมพิวเตอร์ที่ติดเชื้อได้รับการออกแบบมาเพื่อขโมยข้อมูล แต่อย่างใด สามารถเพิ่มฟังก์ชันการทำงานได้ด้วยโมดูลเพิ่มเติม นักวิจัยพบส่วนประกอบปลั๊กอินพิเศษในเซิร์ฟเวอร์คำสั่งและการควบคุมตลอดจนโปรแกรมที่สามารถใช้เพื่อแยกรหัสผ่านที่บันทึกไว้ออกจาก Internet Explorer และ Mozilla Firefox ตลอดจนข้อมูลประจำตัวของโพรโทคอล Remote Desktop Protocol ที่เก็บไว้ใน Windows ระบุว่า "ในขณะที่การระบุเจตนาและอัตลักษณ์ของผู้โจมตีมักเป็นเรื่องยากที่จะยืนยันได้เราพิจารณาแล้วว่าแคมเปญ Safe ถูกกำหนดเป้าหมายและใช้มัลแวร์ที่พัฒนาโดยวิศวกรซอฟต์แวร์ระดับมืออาชีพที่อาจเชื่อมต่อกับระบบอาชญากรรมบนโลกไซเบอร์ในประเทศจีน" นักวิจัยจาก Trend Micro กล่าวในเอกสารของพวกเขา "บุคคลนี้ศึกษาที่มหาวิทยาลัยทางเทคนิคที่โดดเด่นในประเทศเดียวกันและดูเหมือนจะเข้าถึงพื้นที่เก็บข้อมูลของ บริษัท ที่ให้บริการอินเทอร์เน็ต"

ผู้ให้บริการเซิร์ฟเวอร์ C & C เข้าถึงได้จากที่อยู่ IP ในหลายประเทศ แต่ส่วนใหญ่มักมาจาก จีนและฮ่องกงนักวิจัยจาก Trend Micro กล่าว "เรายังเห็นการใช้ VPNs และเครื่องมือพร็อกซี่รวมทั้งทอร์ซึ่งมีส่วนทำให้เกิดความหลากหลายทางภูมิศาสตร์ในที่อยู่ IP ของผู้ให้บริการ"

บทความได้รับการอัปเดตเวลา 9:36 น. เพื่อสะท้อนให้เห็นว่า บริษัท เทรนด์ไมโครได้เปลี่ยนชื่อ การดำเนินการไซเบอร์ที่เป็นเรื่องของเรื่องราวและลิงก์ไปยังรายงานการวิจัย

ปัญหานี้เกิดจาก Device IO Control ซึ่งจะจัดการกับการสื่อสารภายในของอุปกรณ์ นักวิจัยของ Phion พบวิธีที่แตกต่างกันสองวิธีในการก่อให้เกิดหน่วยความจำล้นซึ่งอาจทำให้หน่วยความจำของเคอร์เนลเสียหายได้

ปัญหานี้เกิดจาก Device IO Control ซึ่งจะจัดการกับการสื่อสารภายในของอุปกรณ์ นักวิจัยของ Phion พบวิธีที่แตกต่างกันสองวิธีในการก่อให้เกิดหน่วยความจำล้นซึ่งอาจทำให้หน่วยความจำของเคอร์เนลเสียหายได้

ในสถานการณ์ใดขั้นตอนหนึ่งบุคคลหนึ่งจะต้องมีสิทธิ์ในการจัดการกับพีซี โดยทั่วไปแล้วช่องโหว่ที่ต้องการการเข้าถึงระดับนี้จะทำให้ความเสี่ยงลดลงเนื่องจากผู้บุกรุกได้รับอนุญาตให้ใช้กับเครื่องคอมพิวเตอร์แล้ว

(NAND Mulchandani) เข้ารับตำแหน่ง CEO ของผู้ให้บริการ DNS (Domain Name System) เมื่อวันที่ 5 พฤศจิกายนแทนที่ผู้ก่อตั้ง David Ulevitch ซึ่งจะยังคงเป็น บริษัท ของ บริษัท หัวหน้าฝ่ายเทคโนโลยีกล่าวว่าโฆษกของ บริษัท Mulchandani เป็นผู้บริหาร VMware ล่าสุดที่จะลาออกหลังจากที่ บริษัท ผู้ร่วมก่อตั้งและซีอีโอไดแอนกรีนถูกขับไล่ในเดือนกรกฎาคมของปีนี้ ในเดือนกันยายนผู้ร่วมก่อตั้ง VMware คนหนึ่ง, Chief Scientist Mendel Rosenblum ลาออก Richard Sarwal ซึ่งเป็นผู้นำในการวิจัยและพัฒนาของ บริษัท ยังทิ้งไว้ในเวลาเ

(NAND Mulchandani) เข้ารับตำแหน่ง CEO ของผู้ให้บริการ DNS (Domain Name System) เมื่อวันที่ 5 พฤศจิกายนแทนที่ผู้ก่อตั้ง David Ulevitch ซึ่งจะยังคงเป็น บริษัท ของ บริษัท หัวหน้าฝ่ายเทคโนโลยีกล่าวว่าโฆษกของ บริษัท Mulchandani เป็นผู้บริหาร VMware ล่าสุดที่จะลาออกหลังจากที่ บริษัท ผู้ร่วมก่อตั้งและซีอีโอไดแอนกรีนถูกขับไล่ในเดือนกรกฎาคมของปีนี้ ในเดือนกันยายนผู้ร่วมก่อตั้ง VMware คนหนึ่ง, Chief Scientist Mendel Rosenblum ลาออก Richard Sarwal ซึ่งเป็นผู้นำในการวิจัยและพัฒนาของ บริษัท ยังทิ้งไว้ในเวลาเ

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิงสื่อและการสำรองข้อมูล]

H3C เริ่มก่อตั้งขึ้นเมื่อปี พ.ศ. 2546 ในฐานะ บริษัท ร่วมทุนระหว่าง บริษัท 3Com กับ บริษัท ยักษ์ใหญ่ด้านระบบเครือข่ายของจีน Huawei Technologies เน้นการให้ Huawei เข้าสู่ตลาดสหรัฐและช่วยให้ 3Com มีองค์กรที่แข็งแกร่งขึ้น บริษัท ซิสโก้ค่อยๆล่มสลายจากตลาดองค์กรขนาดใหญ่ 3Com เพื่อมุ่งไปที่ธุรกิจขนาดเล็กและขนาดกลางโดยเน้นที่แบรนด์เดิมของ บริษัท ยังคงมุ่งเน้น 3Com ซื้อ H3C ออกจาก Huawei ในปี 2550 แต่ บริษัท ยังคงพัฒนาและสร้างผลิตภัณฑ์ในประเทศจีน

H3C เริ่มก่อตั้งขึ้นเมื่อปี พ.ศ. 2546 ในฐานะ บริษัท ร่วมทุนระหว่าง บริษัท 3Com กับ บริษัท ยักษ์ใหญ่ด้านระบบเครือข่ายของจีน Huawei Technologies เน้นการให้ Huawei เข้าสู่ตลาดสหรัฐและช่วยให้ 3Com มีองค์กรที่แข็งแกร่งขึ้น บริษัท ซิสโก้ค่อยๆล่มสลายจากตลาดองค์กรขนาดใหญ่ 3Com เพื่อมุ่งไปที่ธุรกิจขนาดเล็กและขนาดกลางโดยเน้นที่แบรนด์เดิมของ บริษัท ยังคงมุ่งเน้น 3Com ซื้อ H3C ออกจาก Huawei ในปี 2550 แต่ บริษัท ยังคงพัฒนาและสร้างผลิตภัณฑ์ในประเทศจีน

[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิ่งสื่อและการสำรองข้อมูล]