Компания Mandiant, специализирующаяся на защите от целевых кибератак, предупреждает о вредоносных рассылках, использующих как элемент spear-phishing атаки копию текста ее нового исследования о китайских хакерах.
Отчет Mandiant, опубликованный в середине февраля, содержит доказательства связи одной из наиболее активных хакерских группировок со спецподразделением Народно-освободительной армии Китая. По утверждению экспертов, эта группа китайских хакеров на протяжении многих лет занималась кибершпионажем и похитила сотни терабайт конфиденциальной информации у 140 иностранных организаций. В отчете также указаны свыше 3 тыс. характерных особенностей, позволяющих с уверенностью установить авторство данной группировки.
По свидетельству экспертов, это детальное исследование, вызвавшее оживленные дискуссии и заставившее официальный Китай в очередной раз с негодованием отмежеваться от шпионской деятельности в интернете, ныне используется злоумышленниками в качестве приманки. Одно из зловредных сообщений, обнаруженное Symantec, написано от имени некоего представителя СМИ, рекомендующего получателю ознакомиться с находками Mandiant. Письмо отослано с адреса бесплатной почты, оформлено на японском языке, причем довольно безграмотно, и снабжено PDF-вложением, использующим имя автора исследования. При запуске этого файла пользователю воспроизводится оригинальная страница отчета с оглавлением, тогда как в фоновом режиме активируется эксплойт, атакующий только что пропатченную уязвимость CVE-2013-0641 в Adobe Reader/Acrobat. В случае успеха на машину жертвы устанавливается даунлоудер, подгружающий другие вредоносные файлы со стороннего сервера – по свидетельству Seculert, корейского.
Другой зловредный PDF-файл, замаскированный под копию отчета Mandiant, был обнаружен независимым исследователем Брэндоном Диксоном (Brandon Dixon, http://blog.9bplus.com/mandiant-apt2-report-lure). Этот файл запаролен и при активации воспроизводит весь оригинальный документ, а также запускает в системе новый процесс AdobeArm.tmp. По свидетельству Диксона, полезная нагрузка данного PDF-файла представляет собой хорошо известный эксплойт к уязвимости CVE-2011-2462 в Adobe Reader/Acrobat. При отработке эксплойта на машину жертвы устанавливается бэкдор, получающий команды с C&C домена, уже засвеченного в прошлогодних атаках против правозащитников. По данным Seculert, спам-рассылки, использующие этот вредоносный аттач, адресованы китайским журналистам.
Mandiant тем временем проводит собственное расследование, пытаясь выявить авторов вредоносных рассылок, и уже опровергла версию о взломе ее ресурсов. Во избежание неприятностей пользователям рекомендуется скачивать отчеты компании из первоисточника. На сайте Mandiant опубликованы также хэши, с помощью которых можно удостовериться в безопасности загрузок.
Отчет о кибершпионаже как приманка