近日,卡巴斯基实验室的专家团队发表了一篇最新的关于NetTraveler的研究报告。新的数据表明:一些高级持续性威胁攻击者使用NetTraverler家族的恶意程序成功感染和攻陷了40个国家的超过350家重要机构。NetTraveler的受害者分布广泛,包括公共机构及私营企业,其中既有政府机构、大使馆,还包括石油和天然气企业、研究中心、军方承包商以及政治活动家。
根据卡巴斯基实验室报告,NetTraveler从2004年初就开始活跃。但是其活跃最高峰发生于2010至2013年。最近,NetTraveler背后的攻击者的兴趣转向太空开发、纳米技术、能源生产、核能、激光、制药以及通讯,并针对相关领域开展了网络间谍行动。
根据卡巴斯基安全专家的分析,NetTraveler的感染手段有以下几种方式:
?含恶意Office文档附件,其中包括两种高危漏洞(CVE-2012-0158 和 CVE-2010-3333)。尽管微软早已经修补了这些漏洞,但其仍然在针对行攻击中被广泛使用,并且已证明攻击非常有效。
?钓鱼式攻击邮件中所含恶意附件的标题说明NetTraveler攻击者精心设计了攻击,其目的是为了感染那些重要目标。这些恶意附件的标题包括以下几种:
|
在对其进行分析过程中,卡巴斯基的专家团队从多个NetTraveler的命令和控制服务器(C&C)获取到感染日志。命令和控制服务器用来在受感染计算机上安装其它恶意软件,并将窃取到的数据泄漏出来。卡巴斯基实验室的专家计算出存储在NetTraveler的命令和控制服务器上的窃取到的数据容量超过22 GB。从受感染计算机上泄漏的数据通常包括文件系统列表、键盘击键记录、各种类型的文件(包括PDF、Excel表格和Word文档等文件)。此外,NetTraveler工具还能够安装用于窃取信息的恶意软件作为后门程序,并对其进行配置,用于窃取其它类型的敏感信息,例如应用程序的配置详情或计算机辅助设计文件。
根据卡巴斯基实验室对NetTraveler的C&C数据进行分析,有40个国家和地区的350家机构遭受感染,其中包括美国、加拿大、英国、俄罗斯、智利、摩洛哥、希腊、比利时、奥地利、乌克兰、立陶宛、白俄罗斯、澳大利亚、日本、中国、蒙古、伊朗、土耳其、印度、巴基斯坦、韩国、泰国、卡塔尔、哈萨克斯坦和约旦。
而结合C&C数据分析,卡巴斯基实验室专家还使用卡巴斯基安全网络(KSN)进一步确认感染数据。卡巴斯基安全网络检测到的受害者排名前十位的国家分别为蒙古、俄罗斯、印度、哈萨克斯坦、吉尔吉斯斯坦、中国、塔吉克斯坦、韩国、西班牙和德国。
而在对NetTraveler分析过程中,卡巴斯基的安全专家还发现有6家受感染机构同时被NetTraveler和”红色十月”所感染。”红色十月”是另一种网络间谍攻击行动,由卡巴斯基实验室在2013年1月所发现。虽然目前没有发现NetTraveler和”红色十月”幕后的攻击者有直接关联,但同一个机构被两种攻击行动所感染,表明这些重要机构的信息对攻击者来说是非常有价值的商品。
