Trend Micro: Выявлены следы новой кибершпионской операции


Trend Micro Mobile SecurityАнтивирусной компанией Trend Micro была обнаружена новая кибершпионская операция, направленная на компрометацию компьютеров в различных государственных министерствах, технологических компаниях, исследовательских организациях и неправительственных организациях в более чем сотне стран.

Новая операция названа SafeNet. В ее рамках жертвы получают мошеннические электронные сообщения, которые различными способами принуждают их посетить вредоносные ресурсы и получить файлы с вредоносными кодами, направленными на кражу персональных данных. Исследовав деятельность кампании SafeNet, специалисты Trend Micro выявили два типа командно-контрольных серверов, указывающих, что используют один и тот же арсенал вредоносов как минимум две хакерских группировки.

Одна из них использует арсенал мошеннических писем с содержимым, связанным с Тибетом и Монголией. При этом в письмах вложены .doc-файлы, которые эксплуатируют уязвимость, устраненную Microsoft в Word ровно год назад. Журналы доступа от этой кампании собираются на C&C-серверах, связанных с 243 уникальными IP-адресами из 11 стран. На момент исследования лишь три сервера были активными в рамках этого направления.

В рамках второй атаки, C&C-серверы содержали в себе данные об атаках на 11 563 компьютера-жертвы из 116 стран. С коммандно-контрольными серверами на момент исследования были связаны лишь 76 компьютеров-клиентов. При этом наибольшее количество жертв были из:

  • США;
  • Китай;
  • Пакистан;
  • Филиппины;
  • Россия.


Вредоносное программное обеспечение, размещаемое в рамках обеих атак, главным образом было направлено, на кражу персональных данных. Создано оно было по модульному принципу и может иметь дополнительные возможности. Например, специалистами Trend Micro были найдены вспомогательные модули, позволяющие получать сохраненные пароли из:

  • Internet Explorer;
  • Mozilla Firefox;
  • Remote Desktop Protocol в Windows.

Обновлено (21.05.2013 01:46)