日前,安全公司FireEye收集了大量的证据,发现了一起典型APT攻击的网络间谍活动,其中使用了恶意软件“Sanny”,FireEye没有透露该间谍活动的详细信息,但经证实,该起间谍活动针对的目标80%都是俄罗斯教育、电信、军工、IT、航空航天等行业。 FireEye公司恶意软件智能实验室研究人员Alex Lanstein和Ali Islam提到,虽然没有确凿的证据表明攻击来自韩国,但是他们发现了许多行为表明攻击源很大可能是来自韩国,如下:
1:SMTP mail服务器和CnC服务器在韩国。
2:发现的一些文档中使用的字体为“Batang”和"KP CheongPong",来自韩国。
3:攻击者利用韩国一个信息发布平台nboard.net发送C&C控制指令。
4:通过发送邮件的邮箱jbaksanny,搜索到一些Jbaksan用户创建的kr的wiki页面 FireEye公司表示,种种迹象表明,这是一起有预谋的国家级别的网络攻击,攻击者利用该恶意软件可以从被感染的计算机中获取outlook数据、firefox、以及hotmail、facebook等网站用户名密码。被窃取的数据经过编码之后发送到CnC服务器,每两天清理一次。
截止报道前,C&C服务器仍在持续运作,FireEye表示调查仍在继续。
韩国APT攻击剑指俄罗斯
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文