Zespół badawczy z firmy FireEye wykrył ostatnio szereg ataków typu spear phishing, których celem były podmioty zlokalizowane w Azji, a w szczególności w państwach Stowarzyszenia Narodów Azji Południowo-Wschodniej ASEAN.

Podejrzewa się, że w jednym z przypadków spear phishing wykorzystano ukradziony dokument jako przynętę. Świadczą o tym bogate i kontekstowe dane (w tekście i metadanych), które nie były dostępne online. Są tam wymienione kraje takie jak Brunei, Filipiny, Indonezja, Kambodża, Laos, Malezja, Mjanma, Singapur, Tajlandia i Wietnam, co pozwala podejrzewać, że były one celem ataku. Ponieważ podejrzewa się, że treść tego „materiału-przynęty” pochodzi ze skradzionego dokumentu zawierającego informacje wrażliwe, szczegóły nie zostaną opublikowane.

Wykryto, że szkodliwe oprogramowanie wykorzystało szereg zaawansowanych, wysublimowanych technik:

1. Szkodliwe oprogramowanie wykorzystuje Google Docs do wykonania przekierowania, aby zapobiec wykryciu wywołania zwrotnego. Technika ta została również zastosowana w szkodliwym oprogramowaniu nazwanym „Backdoor.Makadocs” wykrytym przez Takashiego Katsuki (Katsuki, 2012).

2. Aby bezpiecznie wykonywać niektóre funkcje, używa ono szerokiej gamy funkcji kryptograficznych.

3. Złośliwa biblioteka DLL jest ładowana do pamięci ręcznie, co zapobiega jej wyświetleniu na liście załadowanych bibliotek.

Szkodliwe oprogramowanie staje się coraz bardziej zaawansowane kontekstowo. Jego twórcy starają się, aby jak najbardziej przypominało ono autentyczne oprogramowanie lub dokumenty. Wnioski z tego ataku są następujące:

1. Podczas ataku prawdopodobnie wykorzystano ukradziony dokument jako przynętę w celu zwiększenia wiarygodności działań. Oznacza to również, że zaatakowane przedsiębiorstwa mogą być wykorzystywane do dalszych ataków na ich partnerów biznesowych czy współpracowników.

2. Atak szkodliwego oprogramowania należy powstrzymać na samym początku, czyli w fazie eksploit, bowiem gdy sieć zostanie już zainfekowana wykrywanie zagrożeń jest coraz trudniejsze.

3. Cyberprzestępcy coraz częściej używają też technik zapobiegania reakcjom na incydenty i zabiegów neutralizujących techniki kryminalistyczne w celu uniknięcia wykrycia. Zidentyfikowanie tych wszystkich zaawansowanych technik wymaga bardzo dużej spostrzegawczości i bogatego doświadczenia.

Szczegóły znajdują się na stronie: http://www.fireeye.com/blog/technical/malware-research/2013/06/trojan-apt-seinup-hitting-asean.html

Źródło: FireEye