Lo studio degli hacker cinesi è sospeso come esca di phishing

Gli hacker utilizzano versioni false di un rapporto pubblicato di recente su un gruppo cinese di cyberpionage come esca in nuovi attacchi di spear-phishing indirizzati a utenti giapponesi e cinesi. rilasciato Martedì dalla società di sicurezza Mandiant e documenta in modo dettagliato le campagne di cyberespionaggio condotte dal 2006 da un gruppo di hacker noto come l'Osservazione contro più di 100 aziende e organizzazioni di diversi settori.

Mandiant si riferisce al gruppo come APT1 (Avanzato Persistente Minaccia 1) e afferma nel rapporto che è probabile che sia un'unità segreta di cyberespionaggio a Shanghai, appartenente all'esercito cinese, il codice di identificazione dell'esercito popolare (PLA) denominato "Unità 61398".

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Il governo cinese ha respinto le affermazioni di Mandiant come infondate. Tuttavia, il rapporto ha ricevuto molta attenzione da parte delle persone nel settore della sicurezza IT, nonché dal pubblico in generale.

Sembra che questa pubblicità abbia ora portato gli hacker a decidere di utilizzare il rapporto come esca in nuovi attacchi mirati.

Il malware viene mascherato come rapporto Mandiant

Due attacchi differenti di spear-phishing sono stati scoperti la scorsa settimana usando e-mail con allegati maligni mascherati come il rapporto Mandiant, ha detto Aviv Raff, il responsabile tecnologico della società di sicurezza Seculert.

One attacca gli utenti giapponesi interessati e le e-mail coinvolte con un allegato chiamato Mandiant.pdf. Questo file PDF sfrutta una vulnerabilità in Adobe Reader che è stata patchata da Adobe in un aggiornamento di emergenza Mercoledì, hanno detto in un post sul blog i ricercatori di sicurezza di Seculert.

Il malware installato dall'exploit si collega a un server command-and-control ospitato in La Corea, ma contatta anche alcuni siti Web giapponesi, probabilmente nel tentativo di ingannare i prodotti di sicurezza, hanno affermato i ricercatori di Seculert.

Symantec ha anche rilevato e analizzato l'attacco di spear-phishing. "L'e-mail pretende di essere da qualcuno nei media che consiglia il rapporto", ha detto il ricercatore di Symantec Joji Hamada in un post sul blog. Tuttavia, per una persona giapponese sarebbe evidente che l'e-mail non è stata scritta da un madrelingua giapponese, ha detto.

Hamada ha sottolineato che tattiche simili sono state usate in passato. In un incidente del 2011, gli hacker hanno utilizzato un documento di ricerca sugli attacchi mirati pubblicati da Symantec come esca. "Lo hanno fatto inviando spam agli obiettivi con il whitepaper effettivo e malware nascosto in un allegato di archivio", ha detto Hamada.

Sfrutta il vecchio difetto Adobe

Il secondo attacco spear-phishing ha rilevato obiettivi di utenti di lingua cinese e utilizza un malware allegato denominato "Mandiant_APT2_Report.pdf."

Secondo un'analisi del file PDF del ricercatore Brandon Dixon della società di consulenza sulla sicurezza 9b +, il documento sfrutta una vulnerabilità di Adobe Reader più vecchia che è stata scoperta e patchata nel 2011.

Il malware installato sul sistema stabilisce una connessione a un dominio che attualmente punta a un server in Cina, ha detto Dixon via email. "Il malware fornisce agli aggressori la possibilità di eseguire comandi sul sistema della vittima."

Il nome di dominio contattato da questo malware è stato utilizzato anche in passato in attacchi che hanno preso di mira gli attivisti tibetani, ha detto Raff di Seculert. Quegli attacchi più vecchi hanno installato sia il malware Windows che Mac OS X. Ha detto:

Greg Walton, un ricercatore di MalwareLab, un gruppo di sicurezza che tiene traccia di attacchi di malware politicamente motivati, ha detto su Twitter che l'attacco di spionaggio anti-spam Mandiant ha preso di mira i giornalisti in Cina. Questa informazione non è stata confermata da Raff o Dixon, che ha affermato di non avere copie delle e-mail di spam originali, solo degli allegati dannosi che contenevano.