最近，人們發(fā)現(xiàn)了一個至少隱匿了五年之久的國際網(wǎng)絡(luò)間諜組織，他們以各國政府、外交使館、能源公司等機構(gòu)為目標(biāo)，不斷竊取大量高級機密信息。該間諜活動命名為"紅色十月"，其靈感來自于湯姆克蘭西的暢銷小說《獵殺紅色十月》中的同名隱形核潛艇。

"紅色十月"攻擊的基礎(chǔ)是一系列的釣魚式攻擊，間諜組織向特定人物推送精心設(shè)計的惡意郵件，利用郵件中附帶的惡意及"正常"的Office文件展開進(jìn)一步的攻擊，其過程大致如下：

·毫無戒心的用戶收到一封帶有Office附件的電子郵件，并且打開附件中"正常"文件；（見圖1）

·用戶并不知道自己其實開啟了兩個文件：一個"正常"的Word或Excel文件與一個偽裝成恢復(fù)文檔的惡意文件；

·"正常"的Office文件會突然崩潰并退出，用戶重啟后被提醒是否恢復(fù)文件，一旦用戶習(xí)以為常地點擊恢復(fù)，惡意文件就被很自然地注入并潛伏到Office的系統(tǒng)組件中。

（截圖1："正常"文件完全不帶任何木馬及病毒）

同時，"紅色十月"組織還推送基于Java的魚叉式釣魚郵件。用戶一旦開啟郵件，就會從附帶的鏈接自動下載惡意的Java Applet包。

Websense的威脅搜索網(wǎng)絡(luò)(ThreatScope Network)可深度分析郵件中嵌入式的文件，一旦發(fā)現(xiàn)是惡意軟件即將其攔截，從而保證客戶的網(wǎng)絡(luò)安全。目前，與"紅色十月"攻擊相關(guān)的所有IP地址及域名均被Websense歸類為"僵尸網(wǎng)絡(luò)"，點擊以下鏈接可查看具體的分析報告：

ThreatScope Report on Dropped File 1

ThreatScope Report on Dropped File 2

ThreatScope Report on Dropped File 3

此外，相關(guān)報道稱 "紅色十月"的釣魚式攻擊利用到如下四個漏洞：CVE-2009-3129 Excel、CVE-2010-3333 Word、CVE-2012-0158 Word與CVE-2011-3544 Java。 Websense提醒大家及時打好補丁，以備萬全。

與所有深諳社會工程學(xué)的組織一樣，"紅色十月"從攻擊目標(biāo)的興趣愛好和行為習(xí)慣上深度剖析，精心布局，以提高攻擊的成功率。面對這類強針對性的攻擊，人們一定要對來歷不明的電子郵件保持警覺，不要輕易閱讀帶有鏈接與附件的可疑郵件。

Websense的高級分類引擎(ACE)可為客戶提供可靠的保護(hù)，其安全實驗室仍將密切關(guān)注"紅色十月"及其它不斷演化的各類安全威脅。