研究者发现名为SafeNet的全球性的网络间谍行为-DOIT

趋势科技安全研究员披露了一场活跃的网络间谍活动行为，到目前为止，这次行动所破坏的电脑分别属于100多个国家的政府机构，科技公司，媒体，学术研究机构和非政府组织。

趋势科技将这次的攻击行为命名为SafeNet，它的目标对象是使用带有恶意附件的钓鱼邮件的用户。该公司的研究人员调查了这次操作，并于周五在一份研究报告中公布了自己的发现。

这一调查发现了两套C&C服务器，它们指示着两个单独的SafeNet攻击行动，虽然目标不同，但却是用相同的恶意软件。

其中一场攻击是使用带有西藏和蒙古内容的钓鱼邮件。这些邮件带有.doc附件，利用的是微软Word软件的漏洞，该漏洞微软在2012年4月出了补丁。

从这场攻击的C&C服务器所收集的访问日志发现，共有来自11个国家的243个IP地址。但是，研究者在调查过程中发现仅有三位受害者还有活动迹象，其IP地址来自蒙古共和国和苏丹。

据研究者透露，第二场攻击行动的C&C服务器则记录了116个国家的11563个IP地址，不过真正受害用户的数量应该远小于这个数。在调查期间，有71位受害者的电脑与这台C&C服务器沟通。

第二次攻击中使用的邮件虽未被识别，但是这次攻击的范围较第一次的要广，而且受害者的地理分布比较分散。排名前五的受害IP在印度，美国，中国，巴基斯坦，菲律宾和俄罗斯。

被感染电脑上所安装的恶意软件主要用于偷取信息，但是其功能可通过额外的模块来增强。研究者在C&C服务器上发现了用于特别用途的插件组件，还发现了可把IE和Firefox浏览器记下的密码提取出来的现成程序，以及Windows中远程桌面协议凭据。

“虽然通常都很难确定攻击者的意图和身份，但是我们确定了SafeNet攻击是有目标的，而且它使用了专业软件工程师开发的恶意软件，这些工程师或许与中国的地下网络罪犯有关，”趋势科技研究师们在研究报告中写道。“攻击者可能曾在中国比较有名的技术大学学习，似乎还访问过一家互联网服务公司的源代码库。”

这个C&C服务器的操作者是从不同国家的IP地址接入C&C服务器，但是最常见的是从中国和香港的地址接入，趋势科技研究者称。“我们还看了其VPN和代理工具的使用情况，包括Tor，它们主要是用来为攻击者制造地理位置多变的IP地址。”

研究者发现名为SafeNet的全球性的网络间谍行为