国际标准时间2013年6月4日,Kapersky公布了一个称为“Net Traveler"的APT***行动。该***最早发现于2005年,并可能在2004年就出现,在2010~2013年间最为活跃,受害者超过350个,遍及40个国家,并主要集中在中亚国家。

该***的主要目标包括藏独、疆独,石油公司、科研机构、大学、私营企业、政府、大使馆、国防承包商。

根据卡巴斯基公布的报告,该***具有显著的APT特征。***也是从定向钓鱼开始的。主要是利用了WORD的两个目前已知的漏洞:CVE-2010-3333和CVE-2012-0158。

钓鱼邮件很具诱惑力,然后在WORD附件中有针对上述漏洞利用的恶意代码。受害人打开文档,并没有给Office打上相应补丁,就中招了。

Kapersky:NetTraveler APT***_第1张图片

接下来,植入受害人电脑的NetTraveler***开始工作,收集电脑中的有关文档文件,然后BASE64加密后通过C&C网络上传。

Kapersky:NetTraveler APT***_第2张图片

再往后,我想不必多说各位也知道了。

【参考】

TrendMicro:Safe APT***

TrendMicro:针对以色列美国等国的基于Xtreme RAT的APT***

McAfee:High Roller金融欺诈行动采用了创新性技术

TrendMicro:针对东亚政府和台湾电子企业的APT***IXESHE

Flame解读

Anonymous几天之内攻陷500多个中国网站

TrendMicro:针对印日的LuckyCat***

symantec:硝基***针对化工厂商

针对前独联体国家以及印度、中国的APT***案例

日本抑或也已遭受了APT***?

Stuxnet2.0现身欧洲

APT***实例研究与企业现有防御体系缺陷分析

美国五角大楼称24000份敏感文件透过网络泄露

连线杂志:史上最强的恶意软件Stuxnet揭秘