最近，人們發(fā)現(xiàn)了一個(gè)至少隱匿了五年之久的國(guó)際網(wǎng)絡(luò)間諜組織，他們以各國(guó)政府、外交使館、能源公司等機(jī)構(gòu)為目標(biāo)，不斷竊取大量高級(jí)機(jī)密信息。該間諜活動(dòng)命名為"紅色十月"，其靈感來(lái)自于湯姆克蘭西的暢銷小說(shuō)《獵殺紅色十月》中的同名隱形核潛艇。

"紅色十月"攻擊的基礎(chǔ)是一系列的釣魚(yú)式攻擊，間諜組織向特定人物推送精心設(shè)計(jì)的惡意郵件，利用郵件中附帶的惡意及"正常"的Office文件展開(kāi)進(jìn)一步的攻擊，其過(guò)程大致如下：

·毫無(wú)戒心的用戶收到一封帶有Office附件的電子郵件，并且打開(kāi)附件中"正常"文件；（見(jiàn)圖1）

·用戶并不知道自己其實(shí)開(kāi)啟了兩個(gè)文件：一個(gè)"正常"的Word或Excel文件與一個(gè)偽裝成恢復(fù)文檔的惡意文件；

·"正常"的Office文件會(huì)突然崩潰并退出，用戶重啟后被提醒是否恢復(fù)文件，一旦用戶習(xí)以為常地點(diǎn)擊恢復(fù)，惡意文件就被很自然地注入并潛伏到Office的系統(tǒng)組件中。

（截圖1："正常"文件完全不帶任何木馬及病毒）

同時(shí)，"紅色十月"組織還推送基于Java的魚(yú)叉式釣魚(yú)郵件。用戶一旦開(kāi)啟郵件，就會(huì)從附帶的鏈接自動(dòng)下載惡意的Java Applet包。

Websense的威脅搜索網(wǎng)絡(luò)(ThreatScope Network)可深度分析郵件中嵌入式的文件，一旦發(fā)現(xiàn)是惡意軟件即將其攔截，從而保證客戶的網(wǎng)絡(luò)安全。目前，與"紅色十月"攻擊相關(guān)的所有IP地址及域名均被Websense歸類為"僵尸網(wǎng)絡(luò)"，點(diǎn)擊以下鏈接可查看具體的分析報(bào)告：

ThreatScope Report on Dropped File 1

ThreatScope Report on Dropped File 2

ThreatScope Report on Dropped File 3

此外，相關(guān)報(bào)道稱 "紅色十月"的釣魚(yú)式攻擊利用到如下四個(gè)漏洞：CVE-2009-3129 Excel、CVE-2010-3333 Word、CVE-2012-0158 Word與CVE-2011-3544 Java。 Websense提醒大家及時(shí)打好補(bǔ)丁，以備萬(wàn)全。

與所有深諳社會(huì)工程學(xué)的組織一樣，"紅色十月"從攻擊目標(biāo)的興趣愛(ài)好和行為習(xí)慣上深度剖析，精心布局，以提高攻擊的成功率。面對(duì)這類強(qiáng)針對(duì)性的攻擊，人們一定要對(duì)來(lái)歷不明的電子郵件保持警覺(jué)，不要輕易閱讀帶有鏈接與附件的可疑郵件。

Websense的高級(jí)分類引擎(ACE)可為客戶提供可靠的保護(hù)，其安全實(shí)驗(yàn)室仍將密切關(guān)注"紅色十月"及其它不斷演化的各類安全威脅。