تتدلى دراسة المتسللين الصينيين كطرائد اصطياد

يستخدم المهاجمون نسخًا مزيفة من تقرير تم إصداره مؤخرًا عن مجموعة سيبريسبوناج الصينية كطعم في هجمات التصيد الجديدة التي تستهدف المستخدمين اليابانيين والصينيين.

كان التقرير صدر يوم الثلاثاء من قبل شركة مانديانت الأمنية ووثائق بتفصيل كبير حملات التجسس السيبراني التي أجريت منذ عام 2006 من قبل مجموعة القراصنة المعروفة باسم طاقم التعليق ضد أكثر من 100 شركة ومنظمات من صناعات مختلفة.

يشير Mandiant إلى المجموعة باعتبارها APT1 (متقدم مستمر التهديد 1) والمطالبات الواردة في التقرير أنه من المرجح وحدة سرية إلكترونية مقرها شانغهاي للجيش الصيني-جيش التحرير الشعبي (PLA) -ودود "الوحدة 61398".

[مزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

رفضت الحكومة الصينية مزاعم مانديانت باعتبارها لا أساس لها من الصحة. ومع ذلك ، تلقى التقرير الكثير من الاهتمام من الناس في صناعة أمن تكنولوجيا المعلومات ، وكذلك من عامة الناس.

يبدو أن هذه الدعاية قد أدت الآن إلى مهاجمين قرروا استخدام التقرير كطعم في هجمات جديدة مستهدفة.

تنكر البرمجيات الخبيثة باسم تقرير مندينت

تم اكتشاف اثنين من هجمات التصيد الاحتيالي الأسبوع الماضي باستخدام رسائل البريد الإلكتروني ذات المرفقات الخبيثة التي تنكرها على أنها تقرير مانديانت ، قال أفيف راف ، المسؤول التكنولوجي الرئيسي في شركة الأمن Seculert

One هجوم استهدفت المستخدمين الناطقين باللغة اليابانية ورسائل البريد الإلكتروني المعنية مع مرفق يسمى Mandiant.pdf. يستغل ملف PDF هذا ثغرة في Adobe Reader تم تصحيحها بواسطة Adobe في تحديث طارئ يوم الأربعاء ، كما قال باحثون أمنيون من Seculert في مشاركة مدونة.

تصل البرامج الضارة المثبتة من قبل المستغل إلى خادم القيادة والتحكم المستضاف وقال الباحثون في سيكوليرت إن كوريا ، ولكن أيضا اتصالات ببعض المواقع اليابانية ، ربما في محاولة لخداع المنتجات الأمنية.

كما رصدت سيمانتيك وتحليلها عملية تصيد الاحتيال. وقال الباحث في جامعة سيمانتيك جوجي حمادة في مقال على المدونة "البريد الإلكتروني يزعم أنه من شخص في وسائل الإعلام يوصي بالتقرير." ومع ذلك ، سيكون من الواضح بالنسبة لشخص ياباني أن البريد الإلكتروني لم يكتب من قبل متحدث ياباني أصلي.

أشار حمادة إلى أن أساليب مماثلة قد استخدمت في الماضي. في إحدى الحوادث التي وقعت في عام 2011 ، استخدم المتسللون ورقة بحث حول الهجمات المستهدفة التي نشرتها سيمانتيك كطعم. وقال حمادة: "لقد فعلوا ذلك عن طريق توجيه رسائل غير مرغوب فيها إلى أوراق العمل مع البرمجيات الخبيثة المخبأة في ملحق الأرشيف".

استغلال العيوب القديمة في Adobe

كشف هجوم التصيد الاحتيالي الثاني عن أهداف مستخدمين يتحدثون اللغة الصينية ويستخدم لغة ضارة. مرفق بعنوان "Mandiant_APT2_Report.pdf."

وفقًا لتحليل ملف PDF بواسطة الباحث براندون ديكسون من شركة الاستشارات الأمنية 9b + ، تستغل الوثيقة ثغرة Adobe Reader قديمة تم اكتشافها وتصحيحها في عام 2011.

البرامج الضارة وقال ديكسون عبر البريد الإلكتروني: "إن النظام المثبت على النظام ينشئ اتصالاً بنطاق يشير حاليًا إلى خادم في الصين". "إن البرمجيات الخبيثة توفر للمهاجمين القدرة على تنفيذ الأوامر على نظام الضحية."

تم استخدام اسم النطاق الذي اتصلت به هذه البرمجيات الخبيثة في الماضي في هجمات استهدفت نشطاء التبت. وقال إن هذه الهجمات القديمة قامت بتثبيت البرامج الضارة على كل من نظامي التشغيل Windows و Mac OS X.

قال جريج والتون ، الباحث في شركة MalwareLab ، وهي شركة أمنية تتبع هجمات البرامج الضارة ذات الدوافع السياسية ، على تويتر أن هجوم التصيد الرمحي على طراز Mandiant-themed استهدف الصحفيين في الصين. هذه المعلومات لا يمكن تأكيدها من قبل راف أو ديكسون ، الذين قالوا إنهم ليس لديهم نسخ من رسائل البريد الإلكتروني غير المرغوب فيها ، فقط من المرفق الضار الذي يحتويونه.