安全研究人員目前已經(jīng)發(fā)現(xiàn)兩種新型針對(duì)性攻擊活動(dòng)，專門針對(duì)日本、中國以及其它亞洲地區(qū)的企業(yè)目標(biāo)。其中之一利用的正是上周剛剛被曝光的IE零日漏洞。

　　根據(jù)安全企業(yè)FireEye公司的調(diào)查，針對(duì)“日本目標(biāo)”的DeputyDog攻擊指向的恰好是上周二微軟剛剛發(fā)布修復(fù)補(bǔ)丁的CVE-2013-3893 IE漏洞。

　　該攻擊首次于今年八月末被FireEye公司所發(fā)現(xiàn)，它被托管在位于香港的一臺(tái)服務(wù)器上并被偽裝成一個(gè)。jpg文件。安全人員隨后發(fā)現(xiàn)該惡意軟件開始與位于韓國的主機(jī)相連通。

　　FireEye公司同時(shí)宣稱，應(yīng)對(duì)DeputyDog惡意軟件負(fù)責(zé)的正是今年二月曾成功攻克安全企業(yè)Bit9的犯罪團(tuán)伙，這是因?yàn)榍昂髢纱问录褂玫腎P地址都為180.150.228.102。

　　該公司做出了如下詳細(xì)說明：

　　根據(jù)Bit9公司的反饋，攻擊者在成功侵入企業(yè)網(wǎng)絡(luò)后留下了兩個(gè)HiKit木馬的變種版本。其中之一嘗試與一臺(tái)域名為downloadmp3[.]servemp3[.]com命令與控制服務(wù)器相連，解析得出的IP地址為66.153.86.14。這條IP地址在2012年3月6號(hào)到2012年4月22號(hào)之間也曾托管著www[.]yahooeast[.]net這一臭名昭著的惡意域名。

　　yahooeast[.]net這個(gè)域名由654@123.com郵箱所注冊(cè)。而該郵件地址同時(shí)也被用于注冊(cè)blankchair[.]com——通過解析，我們發(fā)現(xiàn)該網(wǎng)站同樣指向180.150.228.102 IP地址，而且充當(dāng)著與58dc05118ef8b11dcb5f5c596ab772fd相關(guān)聯(lián)的回叫信號(hào)，并與攻擊活動(dòng)所使用的CVE-2013-3893零日漏洞密切相關(guān)。

　　上星期，賽門鐵克公司的研究人員宣稱，Bit9事件的攻擊者們可能來自組織嚴(yán)密的中國黑客團(tuán)體Hidden Lynx。該團(tuán)體還曾經(jīng)介入過2009年因涉及谷歌及其它三十多家技術(shù)企業(yè)而廣為人知的“極光行動(dòng)”。

　　與此同時(shí)，來自Tread Micro公司的威脅分析師們強(qiáng)調(diào)稱，目前一個(gè)新的惡意軟件家族已經(jīng)被用于組織針對(duì)亞洲各主要政府機(jī)構(gòu)的攻擊活動(dòng)。

　　EvilGrab這一名稱的由來正是由于其捕捉音頻及視頻文件的設(shè)計(jì)思路。它利用截屏及鍵盤輸入記錄等方式從受感染設(shè)備中獲取信息，并將結(jié)果上傳至遠(yuǎn)程服務(wù)器端。

　　該惡意軟件的主要針對(duì)目標(biāo)為中國（36%）與日本（16%）的組織機(jī)構(gòu)，其中89%的受害者來自政府部門。

　　有趣的是，EvilGrab還擁有一套精心構(gòu)建的竊取機(jī)制。根據(jù)Trend Micro的研究結(jié)果，該機(jī)制能夠從最具人氣的中國實(shí)時(shí)通信應(yīng)用騰訊QQ中窺探資訊。

　　這一發(fā)現(xiàn)已經(jīng)被納入安全供應(yīng)商整理的首份針對(duì)性攻擊季度報(bào)告。