L'étude des hackers chinois est suspendue comme un hameçonnage

Les attaquants utilisent de fausses versions d'un rapport publié récemment sur un groupe de cyberespionnage chinois comme appât pour de nouvelles attaques de spear-phishing ciblant les utilisateurs japonais et chinois.

Le rapport était publié mardi par la firme de sécurité Mandiant et documente en détail les campagnes de cyberespionnage menées depuis 2006 par un groupe de hackers connu sous le nom de Crew Commentaire contre plus de 100 entreprises et organisations de différentes industries.

Mandiant se réfère au groupe APT1 (Advanced Persistent Menace 1) et affirme dans le rapport qu'il s'agit probablement d'une unité de cyberespionnage secrète de l'armée chinoise basée à Shanghai - l'Unité de libération du peuple (APL), dénommée «Unité 61398».

[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]

Le gouvernement chinois a rejeté les allégations de Mandiant comme étant sans fondement. Cependant, le rapport a reçu beaucoup d'attention de la part des gens de l'industrie de la sécurité informatique, ainsi que du grand public.

Il semble que cette publicité a conduit les attaquants à utiliser le rapport comme appât pour de nouvelles attaques ciblées.

Méfiez-vous des masques sous le rapport Mandiant

Deux attaques de phishing ont été découvertes la semaine dernière en utilisant des courriels contenant des pièces jointes malveillantes qui se faisaient passer pour le rapport Mandiant, a déclaré Aviv Raff, directeur technique de Seculert. attaque les utilisateurs japonais ciblés et les e-mails concernés avec une pièce jointe appelée Mandiant.pdf. Ce fichier PDF exploite une vulnérabilité dans Adobe Reader qui a été corrigée par Adobe dans une mise à jour d'urgence mercredi, ont déclaré les chercheurs en sécurité de Seculert dans un article de blog.

Le malware installé par l'exploit se connecte à un serveur de commande La Corée, mais aussi des contacts avec des sites web japonais, tentent probablement de tromper les produits de sécurité, selon les chercheurs de Seculert.

Symantec a également détecté et analysé l'attaque de spear-phishing. "L'email prétend être de la part d'un média qui recommande le rapport", a déclaré le chercheur de Symantec, Joji Hamada, dans un article de blog. Cependant, il serait évident pour une personne japonaise que l'e-mail n'a pas été écrit par un locuteur natif japonais, at-il dit.

Hamada a souligné que des tactiques similaires ont été utilisées dans le passé. Dans un incident survenu en 2011, les pirates ont utilisé un document de recherche sur les attaques ciblées publiées par Symantec comme appâts. "Ils l'ont fait en spammant des cibles avec le livre blanc et des logiciels malveillants cachés dans une pièce jointe", explique Hamada.

Exploits ancien défaut Adobe

La seconde attaque ciblée ciblant les utilisateurs chinois et utilise un malveillant Pièce jointe appelée "Mandiant_APT2_Report.pdf".

Selon une analyse du fichier PDF par le chercheur Brandon Dixon de la société de conseil en sécurité 9b +, le document exploite une ancienne vulnérabilité d'Adobe Reader qui a été découverte et corrigée en 2011.

installé sur le système établit une connexion à un domaine qui pointe actuellement vers un serveur en Chine, a déclaré Dixon par e-mail. "Le malware fournit aux attaquants la possibilité d'exécuter des commandes sur le système de la victime."

Le nom de domaine contacté par ce malware a également été utilisé dans le passé dans des attaques visant des activistes tibétains, a déclaré Raff. Greg Walton, un chercheur de MalwareLab, un agent de sécurité qui suit les attaques de logiciels malveillants motivés par des motivations politiques, a déclaré sur Twitter que l'attaque de hameçonnage sur le thème du Mandiant ciblait les journalistes. en Chine. Raff ou Dixon n'ont pas confirmé cette information, car ils ont déclaré ne pas avoir de copies des spams d'origine, mais seulement de la pièce jointe malveillante qu'ils contenaient.