每年,當(dāng)世界各國領(lǐng)導(dǎo)人聚首G20峰會討論全球經(jīng)濟問題時����,與該盛會有既得利益關(guān)系的組織成為了威脅者發(fā)布惡意電子郵件的目標(biāo)。本年度的峰會于11月15日�����、16日在澳大利亞布里斯班召開。一個我們稱之為Flea的特定攻擊團體在2014年一直針對這一盛會傳播惡意電子郵件���,其目標(biāo)包括一個國際經(jīng)濟組織和一個與多個金融當(dāng)局相關(guān)的團體���。一旦攻擊者攻克目標(biāo)電腦,就會從中識別并竊取有價值的信息�����。
誰是Flea攻擊團體��?
自2010 年起�,來自Flea團體的攻擊者開始活躍起來。當(dāng)年��,他們向關(guān)注韓國首爾G20 峰會的目標(biāo)發(fā)送了誘騙文檔��。他們主要針對歐洲各國政府�����、全球軍事組織和金融機構(gòu)���。Flea使用一種特定的攻擊工具(經(jīng)檢測為Infostealer.Hoardy)����,能夠在被入侵的電腦上打開后門,運行Shell命令����,并上傳和下載文件。
攻擊者的主要動機是從目標(biāo)官員處竊取信息���。他們通常會向試圖入侵的目標(biāo)電腦發(fā)送帶有惡意附件的釣魚電子郵件。這些郵件中的信息內(nèi)容通常圍繞國際盛會�,或者攻擊目標(biāo)所感興趣的主題,例如核問題�、奧林匹克運動會和重大政治會議。此外�,攻擊者也可能會將電子郵件偽裝成求職申請,并發(fā)送到目標(biāo)組織的人事部門��。一旦目標(biāo)計算機被惡意軟件所感染����,攻擊者就會在被入侵的電腦上展開掃描搜索、識別并竊取有價值的信息�����。
Flea攻擊團體每隔四到八個月就會展開一輪新的攻擊,這可能說明該團體僅意圖竊取短時間段內(nèi)的信息�����。與此同時����,通過Flea的攻擊工具表明,該團體并無意通過被入侵的網(wǎng)絡(luò)轉(zhuǎn)而攻擊其他目標(biāo)�。
圖1:自2010 年開始的Flea攻擊
本年度G20峰會活動
Flea團體在本屆峰會前夕發(fā)出了兩封G20主題的電子郵件,其中一封電子郵件的主題為“What exactly is the point of the G20 in Australia?”(澳大利亞G20峰會的重點到底是什么�����?)該電子郵件包含了一個惡意的Word文檔�,試圖在易受攻擊的電腦上利用Microsoft Windows通用控件ActiveX控件遠程代碼執(zhí)行漏洞 (CVE-2012-0158)。
另一封與G20文檔相關(guān)的電子郵件是針對金融機構(gòu)所感興趣的內(nèi)容��。在財政部長和中央銀行行長進行的每一場會議后��,一封包括G20政策討論和承諾的公告被發(fā)布出來��。Flea攻擊者十分了解這些文檔��,并一直在發(fā)布標(biāo)題為“Communiqué Meeting of G20 Finance Ministers and Central Bank”(20國財政部長與央行行長會議聯(lián)合公報)的電子郵件�����,并附加與上文所述類似的惡意Word文檔。
在這兩個案例中�,惡意Word文檔被用于部署 Infostealer.Hoardy。為了確保收件人不會懷疑任何的異常情況���,一封非惡意Word文檔還會在被入侵的電腦上打開����。
圖2:非惡意Word文檔
攻擊者把這些電子郵件發(fā)送給多個目標(biāo)受眾��,其中包括一個國際經(jīng)濟組織和一個與多個金融當(dāng)局相關(guān)的集團��。這些目標(biāo)受眾均關(guān)注G20峰會的討論內(nèi)容��,其中某些目標(biāo)受眾也許派出了代表團出席本屆活動��,這讓攻擊者看到了一個重要的機會����,他們通過以G20為主題的內(nèi)容引誘目標(biāo)���,進而竊取重要數(shù)據(jù)�����。
未來以G20峰會為主題的攻擊
Flea攻擊團體并非是G20峰會期間需要擔(dān)憂的唯一威脅�����。威脅制造者總會在G20峰會期間發(fā)現(xiàn)合適的攻擊機會�,向政府、金融和經(jīng)濟發(fā)展組織中的個人發(fā)起攻擊�。去年,在俄羅斯圣彼得堡G20峰會召開之前�,賽門鐵克檢測到使用 Poison Ivy 遠程訪問特洛伊木馬 (RAT) 攻擊多個組織機構(gòu)的活動。這些被作為目標(biāo)的組織機構(gòu)在未來的G20峰會中很可能會遭遇相同的攻擊����。毫無疑問,不同的威脅制造者仍舊會繼續(xù)利用各機構(gòu)對G20峰會的關(guān)注���,把他們作為未來的攻擊目標(biāo)��。
安全防護
賽門鐵克建議用戶在打開來自未知發(fā)送者的不明電子郵件和附件時保持謹慎�。近期��,賽門鐵克檢測到關(guān)于G20主題攻擊中使用的惡意軟件為Infostealer.Hoardy�����。
入侵指示:
MD5s:
? 026936afbbbdd9034f0a24b4032bd2f8
? 069aeba691efe44bfdc0377cd58b16ae
? 072af79bb2705b27ac2e8d61a25af04b
? 09b5f55ce2c73883c1f168ec34d70eb9
? 153b035161c8f50e343f143d0f9d327f
? 277487587ae9c11d7f4bd5336275a906
? 2a3da83f4037ad82790b2a6f86e28aa2
? 2df1fd8d73c39dbdbb0e0cdc6dbd70de
? 34252b84bb92e533ab3be2a075ab69ac
? 4c46abe77c752f21a59ee03da0ad5011
? 4c86634100493f0200bbdaf75efa0ebe
? 56dd30a460cdd3cf0c5356558550e160
? 5cc39185b302cc446c503d34ce85bab7
? 5ee64f9e44cddaa7ed11d752a149484d
? 5ee81c755aa668fc12a9cbcbab51912f
? 5ff0cb0184c2bcfbda32354f68ca043c
? 62af361228a14b310042e69d6bab512c
? 649691e1d367721f0ff899fd31133915
? 6af82418fa391ea1c5b9a568cb6486b1
? 6cb633b371700d1bd6fde49ab38ca471
? 703c9218e52275ad36147f45258d540d
? 727ef86947f5e109435298e077296a42
? 745355bbb33c63ebc87d0c021eebbf67
? 777aab06646701c2c454db5c06982646
? 7fd4dcc3ae97a5cd2d229b63f1daa4b6
? 82b1712156c5af50e634914501c24fb1
? 89495d7f2f79848693f593ea8385c5cd
? 8aebcd65ac4a8c10f0f676a62241ca70
? 8c7cf7baaf20fe9bec63eb8928afdb41
? 8c8d6518910bc100e159b587a7eb7f8d
? 98f58f61f4510be9c531feb5f000172f
? a8d6302b5711699a3229811bdad204ca
? aa0126970bab1fa5ef150ca9ef9d9e2e
? abe4a942cb26cd87a35480751c0e50ae
? b391d47b37841741a1817221b946854a
? b68a16cef982e6451ddf26568c60833d
? b9c47a5ccd90fda2f935fc844d73c086
? be58180f4f7ee6a643ab1469a40ffbca
? c2c1bc15e7d172f9cd386548da917bed
? c50116a3360eec4721fec95fe01cf30e
? c718d03d7e48a588e54cc0942854cb9e
? d03d53f3b555fe1345df9da63aca0aaf
? da9f870ef404c0f6d3b7069f51a3de70
? e0abc2e1297b60d2ef92c8c3a0e66f14
? e4d8bb0b93f5da317d150f039964d734
? e75527a20bb75aa9d12a4d1df19b91fa
? e8c26a8de33465b184d9a214b32c0af8
? ecc1167a5f45d72c899303f9bbe44bbc
? feec98688fe3f575e9ee2bd64c33d646
? 14e79a4db9666e0070fe745551a2a73e
? 2fc6827c453a95f64862638782ffeb9d
? 4f2cc578e92cdf21f776cbc3466bad10
? b2c51b84a0ebb5b8fc13e9ff23175596
? cc92b45a6568845de77426382edf7eb0
? 05f854faef3a47b0b3d220adee5ccb45
? db8e651a2842c9d40bd98b18ea9c4836
? 15302b87fe0e4471a7694b3bc4ec9192
? 9ee87ad0842acf7fc0413f2889c1703e
? 836ea5f415678a07fd6770966c208120
? ea12d6f883db4415d6430504b1876dc6
? 88e869f7b628670e16ce2d313aa24d64
指揮和控制服務(wù)器(Command-and-control servers):
? g20news.ns01[.]us
? news.studenttrail[.]com
? skyline.ns1[.]name
? www.trap.dsmtp[.]com
? ftp.backofficepower[.]com
? news.freewww[.]info
? blackberry.dsmtp[.]com
? adele.zyns[.]com
? windowsupdate.serveuser[.]com
? officescan.securitynh[.]com
? cascais.epac[.]to
? www.errorreporting.sendsmtp[.]com
? www.sumba.freetcp[.]com
? google.winfy[.]info
? cname.yahoo.sendsmtp[.]com
? mail.yahoo.sendsmtp[.]com
? update.msntoole[.]com
? expo2010.zyns[.]com
? win7.sixth[.]biz
? ensun.dyndns[.]org
? www.spaces.ddns[.]us
? blog.strancorproduct[.]info
? belgiquede[.]com
? brazil.queretara[.]net
? facebook.proxydns[.]com
? windows.serveusers[.]com
