Onderzoekers onthullen nieuwe wereldwijde cyberspionage-operatie genaamd Safe

De operatie, die Trend Micro Safe heeft genoemd, richt zich op potentiële slachtoffers met behulp van spear phishing-e-mails met kwaadaardige bijlagen. De onderzoekers van het bedrijf hebben de operatie onderzocht en publiceerden vrijdag een onderzoekspaper met hun bevindingen.

Twee tactieken gespot

Het onderzoek bracht twee sets command-and-control (C & C) -servers aan het licht die werden gebruikt voor wat lijkt op twee afzonderlijke Safe aanval campagnes die verschillende doelen hebben, maar gebruik dezelfde malware.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Eén campagne gebruikt spear phishing e-mails met inhoud die gerelateerd is aan Tibet en Mongolië. Deze e-mails bevatten.doc-bijlagen die gebruikmaken van een Microsoft Word-beveiligingslek gepatcht door Microsoft in april 2012.

Toegangslogboeken verzameld op de C & C-servers van deze campagne brachten totaal 243 unieke IP-adresnamen (Internetprotocollen) uit 11 verschillende landen aan het licht. De onderzoekers vonden echter slechts drie slachtoffers die nog actief waren op het moment van hun onderzoek, met IP-adressen uit Mongolië en Zuid-Soedan.

De C & C-servers die overeenkomen met de tweede aanvalscampagne logden 11.563 IP-adressen van unieke slachtoffers uit 116 verschillende landen, maar het werkelijke aantal slachtoffers is waarschijnlijk veel lager, aldus de onderzoekers. Gemiddeld communiceerden 71 slachtoffers op elk moment tijdens het onderzoek actief met deze set van C & C-servers.

De aanvalsmails die werden gebruikt in de tweede aanvalcampagne zijn niet geïdentificeerd, maar de campagne lijkt groter te zijn in reikwijdte en de slachtoffers meer geografisch verspreid. De top vijf landen naar IP-adressen van slachtoffers zijn India, de VS, China, Pakistan, de Filippijnen en Rusland.

Malware op een missie

De malware die op de geïnfecteerde computers is geïnstalleerd, is voornamelijk bedoeld om informatie te stelen, maar de functionaliteit kan worden uitgebreid met extra modules. De onderzoekers vonden plug-in componenten voor speciale doeleinden op de commando- en control-servers, evenals standaardprogramma's die kunnen worden gebruikt om opgeslagen wachtwoorden uit Internet Explorer en Mozilla Firefox te extraheren, evenals referenties voor Remote Desktop Protocol die zijn opgeslagen in Windows.

"Hoewel het bepalen van de intentie en identiteit van de aanvallers vaak moeilijk vast te stellen is, hebben we vastgesteld dat de Veilige campagne gericht is en malware gebruikt die is ontwikkeld door een professionele software-engineer die mogelijk is verbonden met de cybercriminele ondergrond in China," de Trend Micro-onderzoekers zeiden in hun paper. "Deze persoon studeerde aan een vooraanstaande technische universiteit in hetzelfde land en lijkt toegang te hebben tot de broncode-repository van een internetdienstenbedrijf."

De operators van de C & C-servers hebben ze vanaf verschillende IP-adressen in verschillende landen benaderd, maar meestal van China en Hong Kong, zeiden de Trend Micro-onderzoekers. "We zagen ook het gebruik van VPN's en proxy-tools, waaronder Tor, die hebben bijgedragen aan de geografische diversiteit van de IP-adressen van de operators."

Artikel bijgewerkt om 09:36 uur PT om aan te geven dat Trend Micro de naam van de cyberspionage-operatie die het onderwerp van het verhaal was, en de link naar het onderzoeksrapport.