新興「Safe」針對性攻擊、過萬 IP 齊齊中招

每隔個多月，全球便會出現一些大型攻擊，就例如剛剛出現的「Safe」針對性攻擊便是其中例子。有關針對性攻擊由安全機構趨勢科技發現，主要的對象為政府機關、科技公司、媒體、研究機構，以及非政府組織。

Safe 攻擊透過魚叉式網絡釣魚電郵發佈內含專門攻擊 Microsoft Word 軟體漏洞 (CVE-2012-0158) 的惡意附件檔案，程式入侵電腦後將與 C&C 伺服器連線，進而竊取受害電腦資料，並下載更多惡意程式。

專家追蹤分析已發現有近 12,000 個受害 IP，受害者遍佈超過 100 個國家，其中最多受害 IP 集中在印度、美國、中國以及巴基斯坦，而被連線至這些惡意 C&C 伺服器的 IP 則經常維持為 71 個。

前五名中除了美國外，其餘皆為亞洲地區國家

這項攻擊首度現身於 2012 年 10 月，名為「Safe：鎖定目標威脅」(Safe: A Targeted Threat) 。研究報告指出，「Safe」使用專業軟體工程師所開發的惡意程式鎖定攻擊目標，這些工程師可能與地下網絡犯罪集團有所關聯。

Trend Labs 資訊安全專家 Macky Cruz 表示：「我們觀察到一些較小型攻擊正逐漸興起，不同於以往資訊保安業界所熟知的較大型且行跡較為明顯的攻擊，此類小型攻擊採用電郵社交工程手法，入侵環球企業及機構，Safe 攻擊就是這樣一個例子，它使用少數的幕後操縱伺服器、新型惡意程式，並且僅針對特定目標進行鎖定攻擊。」

對付此類新興小型針對性攻擊，各大機構以及企業應該：

– 加強內部對重要主機和網絡封包流量是否異常的偵測能力。
– 定期加強主要數據主機檔案的偵測能力，以及早發現是否有異常新增檔案或資料夾，提早發現針對性攻擊的線索。
– 強化企業或機構內部 IT 相關人員對資訊安全防護的知識以及分析能力，為企業資訊安全進行第一道的把關。