国际标准时间2013年6月4日,Kapersky公布了一个称为“Net Traveler"的APT攻击行动。该攻击最早发现于2005年,并可能在2004年就出现,在2010~2013年间最为活跃,受害者超过350个,遍及40个国家,并主要集中在中亚国家。
该攻击的主要目标包括藏独、疆独,石油公司、科研机构、大学、私营企业、政府、大使馆、国防承包商。
根据卡巴斯基公布的报告,该攻击具有显著的APT特征。攻击也是从定向钓鱼开始的。主要是利用了WORD的两个目前已知的漏洞:CVE-2010-3333和CVE-2012-0158。
钓鱼邮件很具诱惑力,然后在WORD附件中有针对上述漏洞利用的恶意代码。受害人打开文档,并没有给Office打上相应补丁,就中招了。
接下来,植入受害人电脑的NetTraveler木马开始工作,收集电脑中的有关文档文件,然后BASE64加密后通过C&C网络上传。
再往后,我想不必多说各位也知道了。
【参考】
TrendMicro:针对以色列美国等国的基于Xtreme RAT的APT攻击
McAfee:High Roller金融欺诈行动采用了创新性技术
TrendMicro:针对东亚政府和台湾电子企业的APT攻击IXESHE
本文转自叶蓬 51CTO博客,原文链接:http://blog.51cto.com/yepeng/1217533,如需转载请自行联系原作者
