周一,安全供应商AlienVault的研究人员表示,黑客利用最近一份关于对西藏活动人士的网络威胁的报告,作为对分发Windows和Mac恶意软件的亲西藏组织发动新的攻击的诱饵。
3月13日,《AlienVault》出版了一份报告关于针对西藏活动人士组织的电子邮件网络攻击,包括中央西藏政府和国际声援西藏运动。
这些恶意邮件散布了一个陷阱Word文档,利用微软Office的一个漏洞(指定为CVE-2010-3333)安装了Gh0st RAT的变种,一种远程访问的计算机木马。
AlienVault的研究人员认为,针对西藏的攻击行动是由去年对数十家化工企业发起所谓“硝基攻击”的中国黑客组织的。
然而,似乎即使网络间谍活动被曝光,黑客们并没有放弃攻击亲西藏组织。事实上,他们开始使用AlienVault的报告作为新的攻击西藏活动分子的诱饵,AlienVault的研究员Jaime Blasco说一篇博客文章周一。
新截获的恶意邮件使用欺骗的邮件头显示来自AlienVault,警告收件人说西藏激进组织已经成为最近网络攻击的目标。
这些电子邮件包含一个“更多信息”链接,引导访问者进入一个显示AlienVault 3月13日报告副本的网页。然而,在页面启动时隐藏的JavaScript代码利用了一个已知的Java漏洞(CVE-2011-3544), Blasco说。
成功的利用企图导致计算机后门被安装在Windows和Mac OS X系统。Blasco说,当周一被AlienVault扫描时,Mac的后门对病毒的检测率为零。现在,该服务使用的43个反病毒引擎中有6个能检测到它。
Blasco说,Mac上的恶意软件连接到一个命令和控制服务器,该服务器的域名过去曾与涉及Protux后门的攻击有关。
目前尚不清楚Nitro团伙是否对针对西藏活动人士的新袭击负责,但据悉该组织以前也使用过类似的手段。2011年12月,赛门铁克报告Nitro团伙以该公司关于其运营的原始报告为诱饵,发送了一系列恶意电子邮件。
CVE-2011-3544在过去的一个月里已经被观察到许多有针对性的攻击。上周五,卡巴斯基实验室(Kaspersky Lab)报告称,在针对俄罗斯热门新闻网站访问者的攻击中,也利用了同样的漏洞。
微软也报告了使用CVE-2011-3544漏洞的激增,尽管他们还没有被纳入流行的驱动下载工具包,如黑洞或凤凰。微软研究人员说,用户被建议更新他们的Java安装,并从他们的系统删除旧版本,以阻止利用这个漏洞的攻击博客周二。