新闻链接：http://netsecurity.51cto.com/art/201305/396674.htm
新闻时间：2013-05-31 14:38
新闻正文：

5月31日，趋势科技发现一个名为“Safe”的全新APT攻击，攻击对象为政府机关、科技公司、媒体、研究机构，以及非政府组织。“Safe”攻击采用鱼叉式网络钓鱼电子邮件进行传播，内含专门攻击Microsoft Word软件漏洞(CVE-2012-0158)的恶意附件，恶意程序入侵电脑后将与C&C服务器连线，近而窃取受害者电脑资料并且下载更多恶意程序。根据趋势科技的追踪分析，已知有近12,000个受害IP，受害者遍布超过100个国家，平均每天有71个受害IP连接C&C服务器，其中主要受害者IP来源国集中在印度、美国、中国以及巴基斯坦。

新型“Safe”APT攻击兴起

【受害IP遍布全球100多个国家，前五名中除了美国外，其与皆为亚洲地区国家】

这项攻击最早现身于2012年10月，“Safe：锁定目标威胁”(Safe:A Targeted Threat)研究报告指出，“Safe”攻击使用的是专业软件工程师所开发的恶意程序，这些工程师可能与地下网络犯罪集团有所关联。趋势科技病毒防治中心（TrendLabs）信息安全专家MackyCruz表示：“我们观察到一些较小型攻击正逐渐兴起，不同于以往信息安全业界所熟知的较为大型且线索较为明显的攻击，此类小型攻击采用电子邮件社交工程手法，入侵特定全球企业及机构，‘Safe’攻击就是这样一个例子，它使用少数的幕后操纵服务器、新型恶意程序，并且仅针对特定目标进行锁定攻击。” 

新型“Safe”APT攻击兴起

【“Safe”攻击锁定目标攻击运用电子邮件样本】

针对此类新兴小型攻击的锁定目标攻击，趋势科技建议大型机构以及企业应该：

加强企业内部对于重要主机和网络封包流量是否异常的侦测能力；

定期加强主要资料主机档案的侦测能力，以便提早发觉是否有异常新增信息或文件夹，提早发现锁定目标攻击的线索；

加强企业或机构内部IT相关人员对于信息安全防护的知识以及分析能力，方能为企业信息安全进行第一道的把关。

趋势科技提出针对此类APT攻击的《定制化防御策略》，其中的幕后操纵通讯防范技术，能让网络、服务器及端点等防护点拥有独特的定制化侦测及防护能力，并且提供集中式预警与幕后操纵风险情报，能随时掌控黑客的幕后操纵活动，协助企业在损失造成之前预先采取行动。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)