ビデオ: my history up until being nys emt 1998,(preceded by my run through of emergency room today) (十一月 2024)
Trend Microの研究者によると、Safeと呼ばれる現在進行中のサイバースパイ活動は、スピアフィッシングメールで100か国以上のさまざまな組織を標的にしています。
このオペレーションは、政府機関、テクノロジー企業、メディア、学術研究機関、および非政府組織、カイリー・ウィルホイトとトレンドマイクロの脅威研究者2人であるNart Villeneuveを標的にしたようです。 トレンドマイクロでは、120か国以上に広がる12, 000を超える一意のIPアドレスがマルウェアに感染していると考えています。 ただし、毎日平均71個のIPアドレスのみがC&Cサーバーとアクティブに通信していました。
「犠牲者の実際の数は、一意のIPアドレスの数よりもはるかに少ない」とトレンドマイクロはホワイトペーパーで述べていますが、実際の数字については推測していません。
スピアフィッシングに安全に依存
Safeは、同じ種類のマルウェアを使用した2つの異なるスピアフィッシングキャンペーンで構成されていますが、異なるコマンドアンドコントロールインフラストラクチャを使用している、と同研究者はホワイトペーパーに書いています。 あるキャンペーンのスピアフィッシングメールには、チベットまたはモンゴルのいずれかを指す件名が含まれていました。 研究者は、インド、アメリカ、パキスタン、中国、フィリピン、ロシア、ブラジルの犠牲者を主張している2番目のキャンペーンに使用された件名の共通テーマをまだ特定していません。
Trend Microによると、安全にスピアフィッシングメールを被害者に送信し、既にパッチが適用されたMicrosoft Officeの脆弱性を悪用する悪意のある添付ファイルを開くように仕向けました。 研究者は、いくつかの悪意のあるWord文書を発見しました。これらの文書を開くと、被害者のコンピューターにペイロードがサイレントインストールされました。 Windows Common Controlsのリモートコード実行の脆弱性は、2012年4月に修正されました。
C&Cインフラストラクチャの詳細
最初のキャンペーンでは、C&Cサーバーに接続された11か国の243の一意のIPアドレスのコンピューター。 2番目のキャンペーンでは、116か国の11, 563個のIPアドレスのコンピューターがC&Cサーバーと通信しました。 インドは4, 000を超える感染IPアドレスを持ち、最も標的にされているように見えました。
誰でもディレクトリの内容を表示できるように、C&Cサーバーの1つがセットアップされました。 その結果、トレンドマイクロの研究者は、被害者が誰であるかを特定し、C&Cサーバーとマルウェアの背後にあるソースコードを含むファイルをダウンロードすることもできました。 C&Cサーバーのコードを見ると、オペレーターは中国のインターネットサービスプロバイダーからの正当なソースコードを再利用しているようだ、とトレンドマイクロは述べています。
攻撃者はVPN経由でTorネットワークを使用してC&Cサーバーに接続していたため、攻撃者の拠点を追跡することは困難でした。 「プロキシサーバーとVPNの地理的多様性により、それらの真の起源を特定することは困難でした」とトレンドマイクロは述べています。
攻撃者は中国のマルウェアを使用した可能性があります
ソースコードのいくつかの手がかりに基づいて、トレンドマイクロはマルウェアが中国で開発された可能性があると述べました。 現時点では、Safeオペレーターがマルウェアを開発したのか、他の誰かから購入したのかはわかりません。
「攻撃者の意図と身元を判断することは依然として困難ですが、このキャンペーンは中国のサイバー犯罪者の地下に接続している可能性のあるプロのソフトウェアエンジニアによって開発されたマルウェアを使用していると評価しました」と研究者はブログに書いています。