Обнаружена новая кибершпионская кампания SafeNet

Исследователи компании Trend Micro, занимающейся вопросами кибербезопасности, обнаружили кибершпионскую операцию, которая получила название SafeNet. Эта операция заключается в осуществлении атак на системы различных государственных министерств, технологических компаний, исследовательских и неправительственных организаций и охватывает более ста стран.

Для осуществления атак злоумышленники использовали социальную инженерию. Так, жертвы получали электронные письма, в которых тем или иным способом их принуждали пройти по вредоносной ссылке или открыть файл, содержащий вредоносный код, направленный на похищение персональных данных, например, паролей, сохраненных в Internet Explorer, Mozilla Firefox и Remote Desktop Protocol в Windows.

В ходе исследования эксперты Trend Micro обнаружили два типа C&C-серверов, из чего сделали вывод, что по крайней мере две независимые группы хакеров проводят параллельные атаки, преследуя разные цели, но используя идентичное вредоносное ПО.

В первом случае использовались мошеннические письма электронной почты с содержимым, связанным с Тибетом и Монголией. К этим письмам прилагаются .doc-файлы, эксплуатирующие уязвимость Microsoft Word, устраненную год назад. Журналы доступа от этой кампании собираются на C&C-серверах, связанных с 243 IP-адресами из 11 стран.

Во втором случае C&C-серверы содержали в себе данные об атаках на 11 563 системы из 116 стран. Тем не менее, по словам экспертов, на момент проведения исследования с этими серверами были связаны только 76 компьютеров. Наиболее пострадали США, Китай, Пакистан, Филиппины и Россия.