Studier av kinesiska hackare danglas som phishing bete

Attackers använder falska versioner av en nyligen släppt rapport om en kinesisk cyberespionage-grupp som bete i nya spjutfiskeattacker som riktar sig mot japanska och kinesiska användare.

Rapporten var släpptes på tisdag av säkerhetsföretaget Mandiant och dokumenterade i detalj de cyberspionage-kampanjer som genomförts sedan 2006 av en hackergrupp som kallas Kommentar Crew mot mer än 100 företag och organisationer från olika branscher.

Mandiant refererar till gruppen som APT1 (Advanced Persistent Hot 1) och hävdar i rapporten att det är sannolikt en hemlig Shanghai-baserad cyberspionage enhet i den kinesiska armén-PLA-koden-namnet "Unit 61398."

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Den kinesiska regeringen har avskedat Mandiants påståenden som grundlös. Rapporten fick emellertid mycket uppmärksamhet från personer inom IT-säkerhetsbranschen såväl som från allmänheten.

Det verkar som om denna publicitet nu har lett till att angripare beslutar att använda rapporten som bete i nya riktade attacker.

Malware masquerades som Mandiant rapport

Två olika spjutfiskeattacker upptäcktes förra veckan med e-postmeddelanden med skadliga bilagor som masqueraded som Mandiant-rapporten, säger Aviv Raff, säkerhetschefen Seculert attackera riktade japansktalande användare och inblandade e-postmeddelanden med en bilaga kallad Mandiant.pdf. Den här PDF-filen utnyttjar en sårbarhet i Adobe Reader som patchades av Adobe i en nöduppdatering onsdag, säger säkerhetsforskare från Seculert i ett blogginlägg.

Den skadliga programvaran installerad av exploit kopplas till en kommando- och kontrollserver som är värd för Korea, men också kontakter några japanska webbplatser, förmodligen i ett försök att lura säkerhetsprodukter, sa Seculert-forskarna.

Symantec har också upptäckt och analyserat angreppsfiskeinfarkten. "E-postmeddelandet avser att vara från någon i media som rekommenderar rapporten", säger Symantec-forskaren Joji Hamada i ett blogginlägg. Det skulle emellertid vara uppenbart för en japansk person att e-postmeddelandet inte skrevs av en inhemsk japansk talare, sade han.

Hamada påpekade att liknande taktik har använts tidigare. I en incident tillbaka 2011 använde hackare ett forskningspapper om riktade attacker som Symantec publicerade som bete. "De gjorde det genom att spammar mål med den faktiska vitboken tillsammans med skadlig kod som döljs i en arkivbilaga", säger Hamada.

Utnyttjar gammal Adobe-fel

Det andra spjutfiskeangreppet upptäcktes riktar sig mot kinesiska talande användare och använder en skadlig användare bilaga som heter "Mandiant_APT2_Report.pdf."

Enligt en analys av PDF-filen av forskare Brandon Dixon från säkerhetsrådgivningsföretaget 9b + utnyttjar dokumentet ett äldre Adobe Reader-sårbarhet som upptäcktes och patchades 2011.

Malware installerad på systemet etablerar en anslutning till en domän som för närvarande pekar på en server i Kina, sa Dixon via e-post. "Malware ger angripare möjligheten att utföra kommandon på offrets system."

Domännamnet kontaktade av denna malware användes tidigare i attacker som riktade tibetanska aktivister, sa Seculert's Raff. De äldre attackerna installerade både Windows och Mac OS X-skadlig program, säger han.

Greg Walton, en forskare från MalwareLab, en säkerhetsutrustning som spårar politiskt motiverade malwareattacker, sa på Twitter att Mandiant-themed spear-phishing-attacken riktade sig till journalister i Kina. Denna information kunde inte bekräftas av Raff eller Dixon, som sa att de inte har kopior av de ursprungliga spam-e-postmeddelandena, bara av den skadliga bilagan de innehöll.