2012年3月29日,纽约时报报道了一个由TrendMicro发布的APT***分析报告——Inside an APT Campaign with Multiple Targets in India and Japan。根据这份报告,该***针对印度和日本的航空航天、军队、能源等单位进行了长时间的***和刺探。

根据报告显示,这次***行动依然是通过钓鱼邮件开始的,例如针对日本目标的钓鱼邮件的内容大都跟福岛核电站的核辐射问题有关。然后就是利用了很多针对pdf/rtf的漏洞,包括CVE-2010-3333,CVE-2010-2883,CVE-2010-3654,CVE-2011-0611,CVE-2011-2462等。***进去之后就是用C&C进行远程控制,包括VPS申请DNS域名,设置C&C服务器。

最后,报告将疑似***者定位到了一位前川大的学生——Gu Kaiyuan。

比较有趣的是,纽约时报根据这份报告提供的线索开始对这个疑似***者进行了一番人肉搜索,并通过QQ线索联系到了他,当然他没有予以置评【NYT这么说的,不过此人进行了反驳】。

当然,TrendMicro更加厉害啦,他们的僵尸网络跟踪技术应该是一流的。

【参考】

symantec:硝基***针对化工厂商

针对前独联体国家以及印度、中国的APT***案例

Stuxnet2.0现身欧洲

APT***实例研究与企业现有防御体系缺陷分析

美国五角大楼称24000份敏感文件透过网络泄露

连线杂志:史上最强的恶意软件Stuxnet揭秘