Izveštaj o hakerskim napadima koristi se kao mamac u fišing napadima

Vesti, 22.02.2013, 07:36 AM

Dokument koji je početkom nedelje objavila američka firma Mandiant o umešanosti kineske vojske u brojne hakerske napade na američke kompanije, vladine agencije i organizacije postao je vest nedelje kojom su se bavili mediji širom sveta. Sada, na kraju radne nedelje, isti dokument je ponovo vest ali je povod drugačiji.

Naime, izveštaj pod nazivom „ATP1: Exposing One of China's Cyber Espionage Units“ sada se koristi u spear-phishing napadima. Jedan od tih napada otkrili su istraživači firme Symantec koji kažu da su žrtve japanski korisnici, kao i da se u napadu koriste emailovi sa atačmentom pod nazivom Mandiant.pdf. PDF fajl koristi ranjivost u Adobe Reader-u za koju je Adobe objavio zakrpu u sredu.

Email do koga su došli stručnjaci Symantec-a je na japanskom, ali to ne znači da nema istih ovakvih emailova na drugim jezicima. Email navodno dolazi od nekog iz medija koji preporučuje ovaj izveštaj. Međutim, tekst na lošem japanskom ukazuje da oni koji stoje iza napada nisu Japanci.

Drugi napad ove vrste koji takođe koristi dokument Mandiant-a otkrio je istraživač Brendon Dikson. PDF fajl je u ovom slučaju nazvan „Mandiant_APT2_Report.pdf“. Maliciozni fajl je zaštićen šifrom ali kada se otvori otkriva se da sadrži exploit za CVE-2011-2462 ranjivost u Adobe Reader-u koja je otkrivena još u decembru 2011. godine.

Kada se pokrene na sistemu, može se uočiti novi proces pod nazivom „AdobeArm.tmp“ a tada se prikazuje i originalni Mandiant-ov izveštaj. Payload tada kontaktira domen koji je ranije već korišćen u napadima na borce za ljudska prava.

Mandiant je juče upozorio sve koje zanimaju njihova otkrića o hakerskim napadima iz Kine da zvanični dokument potraže na sajtu firme.