Megújult tízéves évfordulójára a NetTraveler

2014. szeptember 2. 15:41

A Kaspersky Lab a NetTraveler APT backdoor frissített változatával elkövetett támadások számának emelkedését tapasztalja.

2014-ben ünneplik a „NetTraveler művelet” nevű globális kiberkémkedési kampány tízéves fennállását az akció mögött álló hackerek. Bár úgy tűnik, az első mintákat 2005-ben állították össze, egyes jelek arra mutatnak, hogy a rosszindulatú aktivitás már 2004-ben elindult. Tíz év alatt a NetTraveler több mint 350 ismert célpontot támadott 40 országban. Idén a Kaspersky Lab emelkedést tapasztalt az ujgurokat és a tibetieket támogatók ellen intézett támadások számában; az incidenseket az új titkosítási sémájú NetTraveler frissített változatával követték el. Vizsgálódásai során a Kaspersky Lab hét parancs és vezérlő (C&C) szervert fedezett fel Hongkongban és egyet az Egyesült Államokban.

A legutóbbi NetTraveler áldozatok szektorok szerint

Újabban a kiberkémkedési aktivitás a diplomáciai képviseletek (32 százalék), a kormányzati intézmények (19 százalék), a magánszféra (11 százalék), a katonaság (9 százalék), az ipar és infrastruktúra (7 százalék), az űrkutatási szervezetek (6 százalék), a kutatóintézetek (4 százalék), az aktivisták (3 százalék), az IT szektor (3 százalék), az egészségügy (2 százalék) és a sajtó (1 százalék) ellen irányul.

Fertőzési mód: egy „megújult”backdoor

A NetTravel mögött álló hackercsoport a támadásokat hagyományosan a kiszemelt aktivistáknak küldött adathalász e-mailekkel indítja. A leveleknek két mellékletük van, egy ártalmatlan JPG fájl és egy Microsoft Word DOC fájl, amely tartalmazza a Microsoft Office CVE-2012-0158 jelű sérülékenységének kihasználásához szükséges kódot. A Kaspersky Lab megállapította, hogy ez a rosszindulatú fájl a Microsoft Office kínai nyelvű változatával készült.

Ha a Microsoft Office sebezhető változatával nyitják meg a fájlt, a kihasználó kód szabadjára engedi a Trojan-Spy vírust. A malware konfigurációs fájl új formátummal rendelkezik, amely kismértékben eltér a „régebbi” NetTraveler mintáktól. A NetTraveler fejlesztői nyilvánvalóan megpróbálták elrejteni a malware konfigurációját.

A sikeres fertőzés után a NetTraveler elküldi üzemeltetőinek a gépen található DOC, XLS, PPT, RTF és PDF formátumú fájlokat.

A Kaspersky Lab nyolc parancs és vezérlő szervert azonosított. Ezek közül hetet a Shanghai Meicheng Technology nevű szervezet jegyeztetett be, és a hozzájuk tartozó IP címek hongkongiak (Trillion Company, Hongkong Dingfengxinhui Bgp Datacenter, Sun Network Limited és Hung Tai International Holdings). Egy szervert az egyesült államokbeli IP címmel (Integen Inc.) rendelkező Todaynic.com Inc. jegyeztetett be. A Kaspersky Lab szakértői az összes rosszindulatú gazdagép tűzfallal való blokkolását ajánlják.

„Miközben a NetTraveler támadásokat vizsgáltuk, megállapítottuk, hogy a NetTraveler C&C szerverein tárolt lopott adatok mennyisége meghaladja a 22 gigabájtot. Ez egy jelenleg is folyó kiberkémkedési kampány, és az aktivisták ellen elkövetett legutóbbi támadások alapján állíthatjuk, hogy valószínűleg még legalább tíz évig el fog tartani. Az IT biztonsági cégek immár a legkifinomultabb fenyegetéseket is képesek azonosítani, azonban a NetTraveler példája azt mutatja, hogy egy fenyegetés hosszú ideig észrevétlen maradhat,” – mondta Kurt Baumgartner, a Kaspersky Lab vezető biztonsági kutatója.

Így védekezhetünk a frissített NetTraveler malware ellen

Blokkoljuk a fentebb említett gazdagépeket a tűzfalunkkal
Frissítsük a Microsoft Windows-t és a Microsoft Office-t a legújabb változatra
Tartózkodjunk az ismeretlenektől származó levélmellékletek és hivatkozások megnyitásától
Használjunk biztonságos böngészőt, például a Google Chrome-ot, amely gyorsabb fejlesztési és javítási ciklussal rendelkezik

A Kaspersky Lab termékei felismerik és semlegesítik a NetTraveler Toolkit által használt rosszindulatú programokat és változataikat, melyek a következők: Trojan-Dropper.Win32.Agent.lifr, Trojan-Spy.Win32.TravNet, Trojan-Spy.Win32.TravNet.qfr, Trojan.BAT.Tiny.b és Downloader.Win32.NetTraveler.

A Kaspersky Lab termékei felismerik a célzott adathalász támadásoknál a Microsoft Office sérülékenységének kihasználására alkalmazott kódokat, melyek a következők: Exploit.MSWord.CVE-2010-333, Exploit.Win32.CVE-2012-0158 és Exploit.MSWord.CVE-2012-0158.db.

További érdekes olvasnivalók: