网络间谍活动针对100多个国家/地区

趋势科技的研究人员发现，一项名为“安全”的正在进行中的网络间谍活动以鱼叉式网络钓鱼电子邮件攻击了100多个国家/地区的各种组织。

该行动似乎针对的是政府机构，技术公司，媒体，学术研究机构和非政府组织，这两个趋势科技威胁研究人员Kylie Wilhoit和Nart Villeneuve在“安全情报博客”上写道。 趋势科技认为，分布在120多个国家/地区中的超过12, 000个唯一IP地址已感染了该恶意软件。 但是，平均每天只有71个IP地址与C&C服务器进行主动通信。

趋势科技在其白皮书中说：“受害者的实际数量远远少于唯一IP地址的数量。”但他拒绝推测实际数字。

安全依赖于鱼叉式网络钓鱼

研究人员在白皮书中写道，保险柜包含两个截然不同的鱼叉式网络钓鱼活动，这些活动使用相同的恶意软件，但是使用不同的命令和控制基础结构。 一个活动的鱼叉式网络钓鱼电子邮件的主题行涉及西藏或蒙古。 研究人员尚未在第二次运动的主题领域中确定一个共同的主题，该运动已在印度，美国，巴基斯坦，中国，菲律宾，俄罗斯和巴西造成了受害者。

趋势科技称，保险箱柜向受害者发送了鱼叉式网络钓鱼电子邮件，并诱使他们打开了恶意附件，利用了已修复的Microsoft Office漏洞。 研究人员发现了几个恶意的Word文档，这些文档在打开后会在受害者的计算机上静默安装有效负载。 Windows Common Controls中的远程执行代码漏洞已于2012年4月修复。

C&C基础结构的详细信息

在第一个活动中，来自11个不同国家/地区的243个唯一IP地址的计算机连接到C&C服务器。 在第二个活动中，来自116个国家/地区的11, 563个IP地址的计算机与C&C服务器进行了通信。 印度似乎是最有针对性的，拥有4, 000多个受感染IP地址。

设置了C&C服务器之一，以便任何人都可以查看目录的内容。 结果，趋势科技的研究人员能够确定受害者是谁，还可以下载包含C&C服务器和恶意软件背后的源代码的文件。 趋势科技表示，从C&C服务器的代码来看，运营商似乎已将中国互联网服务提供商的合法源代码重新定位。

攻击者通过VPN并使用Tor网络连接到C&C服务器，这使得跟踪攻击者所在的位置变得困难。 趋势科技表示：“代理服务器和VPN的地域多样性使其很难确定其真实来源。”

攻击者可能已经使用了中国恶意软件

根据源代码中的一些线索，趋势科技表示该恶意软件可能是在中国开发的。 目前尚不清楚安全操作员是否开发了恶意软件或从其他人那里购买了恶意软件。

研究人员在博客上写道：“在确定攻击者的意图和身份的过程中仍然很困难，我们评估了这次攻击是针对性的，并使用了由可能与中国的网络犯罪分子连接的专业软件工程师开发的恶意软件。”