正值3·8女人節(jié)期間，一個(gè)被偵測(cè)為TROJ_ARTIEF.LN，文件名為“The incredible story of Jeremy Lin the NBA new superstar.doc(NBA超級(jí)新星林書豪令人難以相信的故事)” 的惡意文件開始蔓延。它利用微軟Office的一個(gè)漏洞(CVE-2010-3333)將惡意軟件放入目標(biāo)的電腦上。這個(gè)惡意軟件被趨勢(shì)科技偵測(cè)為 BKDR_MECIV.LN。一旦弱點(diǎn)攻擊成功，就會(huì)打開一份乾凈的文件，好讓目標(biāo)不去懷疑有任何惡意行為的發(fā)生。趨勢(shì)科技表示，近年APT滲透攻擊越來越頻繁。當(dāng)目標(biāo)收到一封電子郵件，誘導(dǎo)受害目標(biāo)打開附件。這個(gè)攻擊者所附加的文件夾包含了惡意程序代碼，可以去攻擊常用軟件的漏洞。攻擊者在惡意軟件里嵌入了一個(gè)獨(dú)特的識(shí)別特征以供監(jiān)視,這樣就可以讓攻擊者獲得電腦的控制權(quán)，并且取得資料。攻擊者可能會(huì)接著去入侵目標(biāo)所處的整個(gè)網(wǎng)絡(luò)，而且通?？梢员３珠L(zhǎng)時(shí)間的控制受害者的電腦。最終，攻擊者會(huì)找到并且取得受害者所處的網(wǎng)絡(luò)內(nèi)部的敏感資料。

這次攻擊事實(shí)上是趨勢(shì)科技去年所報(bào)告入侵了61個(gè)國(guó)家1465臺(tái)電腦,包含外交等單位的LURID攻擊活動(dòng)(通常也被稱為Enfal)的一部分。它的受害者主要出現(xiàn)在東歐和中亞。而林來瘋攻擊則持續(xù)了這一攻勢(shì)。

這里也解譯了返回的僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet指揮和控制服務(wù)器的信息：

[host name]:[mac address]

[ip address]

windows xp

1252:0409

tt

tb0216

n

n

n

2.14

這個(gè)信息包含了主機(jī)名稱、MAC地址和受害者的IP地址，還有操作系統(tǒng)跟語系設(shè)定。此外它還包含了攻擊代碼tb0216，好讓攻擊者可以追蹤他們的攻擊活動(dòng)。在這次的案例中，攻擊代碼包括了攻擊日期0216和tb。

和趨勢(shì)科技對(duì)LURID攻擊的報(bào)告所指出的一樣，這次攻擊還針對(duì)了前蘇聯(lián)的國(guó)家。在2012年2月8日，趨勢(shì)科技發(fā)現(xiàn)了另一起攻擊針對(duì)東歐的政府辦公室。

這個(gè)附件文件被偵測(cè)為TROJ_ARTIEF.LN，利用微軟Office的漏洞(CVE-2010-3333)來將惡意軟件放入目標(biāo)的電腦上。這個(gè)惡意軟件被偵測(cè)為BKDR_MECIV.LN。一旦弱點(diǎn)攻擊成功之后，會(huì)打開一份乾凈的文件。電子郵件和乾凈的文件文件包含了由政府間組織所舉辦的會(huì)議信息。

以下是傳回指揮和控制服務(wù)器的信息：

[host name]:[mac address]

[ip address]

windows xp

1252:0409

svchsot.exe

0dayfeb03.exe

n

n

n

2.14

被嵌在這次攻擊的代碼是0dayfeb-3.exe，帶有日期(2012年2月3日)，也就是目標(biāo)攻擊電子郵件寄送出來的幾天前。盡管提到了0day，但這次攻擊所使用的漏洞是已經(jīng)很久但還是很有效的CVE-2010-3333。

這些攻擊事件證明了廣為人知的攻擊活動(dòng)還是會(huì)長(zhǎng)時(shí)間地繼續(xù)運(yùn)行下去。這些攻擊的幕后黑手會(huì)利用相同惡意軟件的變種來不斷地對(duì)目標(biāo)發(fā)動(dòng)新的攻擊。攻擊者會(huì)持續(xù)利用新聞事件來誘騙受害者執(zhí)行惡意的電子郵件附件文件。

huanghui

<strike id="ppmsn"></strike>