办事器安然、虚拟化及云计较安然厂商趋势科技发现一个名为“Safe”的全新APT报复打击,报复打击对象为当局机关、科技公司、媒体、研究机构,和非当局组织。“Safe”报复打击采取鱼叉式收集垂钓电子邮件进行传播,内含专门报复打击 Microsoft Word软件缝隙 (CVE-2012-0158) 的歹意附件,歹意法度进侵电脑后将与C&C办事器连线,近而盗取受害者电脑资料并且下载更多歹意法度。按照趋势科技的追踪阐发,已知有近12,000个受害IP,受害者遍及超越 100个国度,平均每天有71个受害IP连接C&C 办事器,此中首要受害者IP来历国集中在印度、美国、中国和巴基斯坦。
受害IP遍及全球100多个国度,前五名中除美国外,其与皆为亚洲地区国度
这项报复打击最早现身于 2012 年 10 月,“Safe:锁定方针威胁”(Safe: A Targeted Threat) 研究陈述指出,“Safe”报复打击利用的是专业软件工程师所开辟的歹意法度,这些工程师可能与地下收集犯法集体有所联系关系。趋势科技病毒防治中间(Trend Labs)信息安然专家 Macky Cruz 暗示:“我们不雅察到一些较小型报复打击正逐步鼓起,不合于以往信息安然业界所熟知的较为大年夜型且线索较为较着的报复打击,此类小型报复打击采取电子邮件社交工程手法,进侵特定全球企业及机构,‘Safe’报复打击就是如许一个例子,它利用少数的幕后把持办事器、新型歹意法度,并且仅针对特定方针进行锁定报复打击。”
“Safe”报复打击锁定方针报复打击应用电子邮件样本
针对此类新兴小型报复打击的锁定方针报复打击,趋势科技建议大年夜型机构和企业应当:
1、 加强企业内部对首要主机和收集封包流量是不是异常的侦测能力
2、 按期加强首要资料主机档案的侦测能力,以便提早发觉是不是有异常新增信息或文件夹,提早发现锁定方针报复打击的线索。
3、 加强企业或机构内部IT相干人员对信息安然防护的常识和阐发能力,方能为企业信息安然进行第一道的把关。