The answer to “Why EDR is not enough?”
Mục lục:
- Một chiến dịch sử dụng email lừa đảo giáo có nội dung liên quan đến Tây Tạng và Mông Cổ. Các bản ghi truy cập được thu thập từ các máy chủ C & C của chiến dịch này đã tiết lộ tổng cộng 243 địa chỉ IP nạn nhân (Giao thức Internet) duy nhất từ 11 quốc gia khác nhau. Tuy nhiên, các nhà nghiên cứu chỉ tìm thấy ba nạn nhân vẫn còn hoạt động tại thời điểm điều tra, với địa chỉ IP từ Mông Cổ và Nam Sudan.
- Bài viết cập nhật lúc 9:36 sáng PT để phản ánh rằng Trend Micro đã thay đổi tên của hoạt động cyberespionage là chủ đề của câu chuyện và liên kết đến báo cáo nghiên cứu của nó.
Cuộc điều tra đã phát hiện ra hai bộ máy chủ điều khiển và lệnh (C & C) được sử dụng cho những gì dường như là hai An toàn riêng biệt.
[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]
Một chiến dịch sử dụng email lừa đảo giáo có nội dung liên quan đến Tây Tạng và Mông Cổ. Các bản ghi truy cập được thu thập từ các máy chủ C & C của chiến dịch này đã tiết lộ tổng cộng 243 địa chỉ IP nạn nhân (Giao thức Internet) duy nhất từ 11 quốc gia khác nhau. Tuy nhiên, các nhà nghiên cứu chỉ tìm thấy ba nạn nhân vẫn còn hoạt động tại thời điểm điều tra, với địa chỉ IP từ Mông Cổ và Nam Sudan.
Các máy chủ C & C tương ứng với chiến dịch tấn công thứ hai đã ghi lại 11.563 địa chỉ IP nạn nhân duy nhất từ 116 quốc gia khác nhau nhưng số nạn nhân thực tế có thể thấp hơn nhiều, các nhà nghiên cứu cho biết. Trung bình, 71 nạn nhân đã tích cực giao tiếp với bộ máy chủ C & C này tại bất kỳ thời điểm nào trong quá trình điều tra, họ cho biết.
Email tấn công được sử dụng trong chiến dịch tấn công thứ hai chưa được xác định, nhưng chiến dịch dường như lớn hơn phạm vi và nạn nhân phân tán rộng rãi hơn về mặt địa lý. 5 quốc gia hàng đầu theo số địa chỉ IP nạn nhân là Ấn Độ, Mỹ, Trung Quốc, Pakistan, Philippines và Nga.Phần mềm độc hại trên sứ mệnh
Phần mềm độc hại được cài đặt trên máy tính bị nhiễm chủ yếu được thiết kế để lấy cắp thông tin, nhưng chức năng của nó có thể được tăng cường với các mô-đun bổ sung. Các nhà nghiên cứu đã tìm thấy các thành phần plug-in chuyên dụng trên các máy chủ lệnh và điều khiển, cũng như các chương trình có sẵn có thể được sử dụng để trích xuất các mật khẩu đã lưu từ Internet Explorer và Mozilla Firefox, cũng như các thông tin giao thức Remote Desktop Protocol được lưu trữ trong Windows.
"Trong khi xác định ý định và nhận dạng của kẻ tấn công thường khó xác định, chúng tôi xác định rằng chiến dịch An toàn được nhắm mục tiêu và sử dụng phần mềm độc hại được phát triển bởi một kỹ sư phần mềm chuyên nghiệp có thể kết nối với mạng ngầm ngầm ở Trung Quốc". các nhà nghiên cứu của Trend Micro cho biết trong bài báo của họ. "Cá nhân này học tại một trường đại học kỹ thuật nổi tiếng ở cùng một quốc gia và dường như có quyền truy cập vào kho lưu trữ mã nguồn của công ty dịch vụ Internet."
Các nhà điều hành máy chủ C & C truy cập chúng từ địa chỉ IP ở một số quốc gia. Trung Quốc và Hồng Kông, các nhà nghiên cứu của Trend Micro cho biết. "Chúng tôi cũng thấy việc sử dụng VPN và công cụ proxy, bao gồm Tor, góp phần vào sự đa dạng địa lý của địa chỉ IP của các nhà khai thác."
Bài viết cập nhật lúc 9:36 sáng PT để phản ánh rằng Trend Micro đã thay đổi tên của hoạt động cyberespionage là chủ đề của câu chuyện và liên kết đến báo cáo nghiên cứu của nó.
Các nhà cung cấp nhắm mục tiêu đến các vụ kiện không được đặt tên cho đến thứ Hai, nhưng Tổng Chưởng lý Washington (AG) đã giới thiệu họ trong một phương tiện truyền thông cảnh báo đã được gửi đi vào thứ Sáu là "những nhà tiếp thị hiếu chiến về các chương trình máy tính scareware - vô ích mà làm cho người tiêu dùng bằng cách sử dụng các quảng cáo pop-up để cảnh báo về các thiếu sót máy tính không tồn tại, nhưng khẩn cấp, có vấn đề". Đọc: Làm thế nào để loại bỏ phần mềm độc hại khỏi máy
ĐâY không phải là lần đầu tiên Microsoft và Washington AG hợp tác để chống lại scareware. Vào năm 2005, họ đã cùng nhau kiện Secure Computer, một công ty phần mềm bảo mật mà họ cáo buộc sử dụng các thông báo lỗi giả mạo để khiến người dùng hoảng sợ khi mua phần mềm Spyware Cleaner. Bảo mật Máy tính cuối cùng đã thanh toán 1 triệu USD để giải quyết các khoản phí.
Một nhóm nhà cung cấp dẫn đầu bởi Microsoft và nhằm tăng cường khả năng tương tác giữa các định dạng tài liệu khác nhau đã tiết lộ một số công cụ để giúp người dịch giữa các tài liệu được tạo trong Open XML và các tài liệu sử dụng các định dạng tệp tin khác. cuộc họp của Sáng kiến Hợp tác Tài liệu (DII) tại Brussels tuần này, Microsoft và các nhà lãnh đạo ngành công nghiệp khác đã công bố ba công cụ để dịch các tài liệu trong Open XML, tiêu chuẩn ngành được Tổ chức Tiêu chuẩn Quốc tế (ISO) phê
Các công cụ mới được vạch ra trong một bài đăng trên blog của Peter Galli, quản lý cộng đồng nguồn mở cao cấp của Microsoft
Hãy coi chừng nút "Không thích" của Facebook Sophos báo cáo lừa đảo vi-rút mới lưu hành - nhắm mục tiêu người dùng lo lắng thêm nút "không thích" vào Facebook gần đây đã mở rộng tính năng "Like", cho phép người dùng trang web mạng xã hội "like" các nhận xét riêng lẻ cho một bài đăng nhất định và mở rộng ứng dụng của hệ thống bầu cử cho các trang web khác. Bây giờ, một lừa đảo phần mềm độc hại đang lưu hành khai thác nhu cầu từ người dùng Faceboo
Nút Thích, và khả năng Thích trang Facebook là các công cụ phổ biến. Tính năng Giống như cung cấp một khuôn khổ cho người dùng để giúp quảng bá nội dung tốt bằng cách bỏ phiếu cho nó bằng nút Thích. Tuy nhiên, nhiều người dùng muốn họ cũng có thể cảnh sát xấu nội dung bằng cách cho nó ngón tay cái xuống với một nút Dislike.