近日，卡巴斯基實(shí)驗(yàn)室的專家團(tuán)隊(duì)發(fā)表了一篇最新的關(guān)于Net Traveler的研究報(bào)告。新的數(shù)據(jù)表明：一些高級(jí)持續(xù)性威脅攻擊者使用Net Traverler家族的惡意程序成功感染和攻陷了40個(gè)國家的超過350家重要機(jī)構(gòu)。Net Traveler的受害者分布廣泛，包括公共機(jī)構(gòu)及私營企業(yè)，其中既有政府機(jī)構(gòu)、大使館，還包括石油和天然氣企業(yè)、研究中心、軍方承包商以及政治活動(dòng)家。

根據(jù)卡巴斯基實(shí)驗(yàn)室報(bào)告，Net Traveler從2004年初就開始活躍。但是其活躍最高峰發(fā)生于2010至2013年。最近，Net Traveler背后的攻擊者的興趣轉(zhuǎn)向太空開發(fā)、納米技術(shù)、能源生產(chǎn)、核能、激光、制藥以及通訊，并針對相關(guān)領(lǐng)域開展了網(wǎng)絡(luò)間諜行動(dòng)。

根據(jù)卡巴斯基安全專家的分析，Net Traveler的感染手段有以下幾種方式：

·含惡意Office文檔附件，其中包括兩種高危漏洞（CVE-2012-0158和CVE-2010-3333）。盡管微軟早已經(jīng)修補(bǔ)了這些漏洞，但其仍然在針對行攻擊中被廣泛使用，并且已證明攻擊非常有效。

·釣魚式攻擊郵件中所含惡意附件的標(biāo)題說明Net Traveler攻擊者精心設(shè)計(jì)了攻擊，其目的是為了感染那些重要目標(biāo)。這些惡意附件的標(biāo)題包括以下幾種：

2013年軍隊(duì)網(wǎng)絡(luò)安全策略.doc

報(bào)告——亞洲防御開支劇增.doc

o行動(dòng)詳情.doc

o達(dá)賴?yán)镌L問瑞士的第四天

o言論自由.doc

在對其進(jìn)行分析過程中，卡巴斯基的專家團(tuán)隊(duì)從多個(gè)Net Traveler的命令和控制服務(wù)器（C&C）獲取到感染日志。命令和控制服務(wù)器用來在受感染計(jì)算機(jī)上安裝其它惡意軟件，并將竊取到的數(shù)據(jù)泄漏出來?？ò退够鶎?shí)驗(yàn)室的專家計(jì)算出存儲(chǔ)在Net Traveler的命令和控制服務(wù)器上的竊取到的數(shù)據(jù)容量超過22GB。從受感染計(jì)算機(jī)上泄漏的數(shù)據(jù)通常包括文件系統(tǒng)列表、鍵盤擊鍵記錄、各種類型的文件（包括PDF、Excel表格和Word文檔等文件）。此外，Net Traveler工具還能夠安裝用于竊取信息的惡意軟件作為后門程序，并對其進(jìn)行配置，用于竊取其它類型的敏感信息，例如應(yīng)用程序的配置詳情或計(jì)算機(jī)輔助設(shè)計(jì)文件。

根據(jù)卡巴斯基實(shí)驗(yàn)室對Net Traveler的C&C數(shù)據(jù)進(jìn)行分析，有40個(gè)國家和地區(qū)的350家機(jī)構(gòu)遭受感染，其中包括美國、加拿大、英國、俄羅斯、智利、摩洛哥、希臘、比利時(shí)、奧地利、烏克蘭、立陶宛、白俄羅斯、澳大利亞、日本、中國、蒙古、伊朗、土耳其、印度、巴基斯坦、韓國、泰國、卡塔爾、哈薩克斯坦和約旦。

而結(jié)合C&C數(shù)據(jù)分析，卡巴斯基實(shí)驗(yàn)室專家還使用卡巴斯基安全網(wǎng)絡(luò)（KSN）進(jìn)一步確認(rèn)感染數(shù)據(jù)。卡巴斯基安全網(wǎng)絡(luò)檢測到的受害者排名前十位的國家分別為蒙古、俄羅斯、印度、哈薩克斯坦、吉爾吉斯斯坦、中國、塔吉克斯坦、韓國、西班牙和德國。

而在對Net Traveler分析過程中，卡巴斯基的安全專家還發(fā)現(xiàn)有6家受感染機(jī)構(gòu)同時(shí)被Net Traveler和”紅色十月”所感染。”紅色十月”是另一種網(wǎng)絡(luò)間諜攻擊行動(dòng)，由卡巴斯基實(shí)驗(yàn)室在2013年1月所發(fā)現(xiàn)。雖然目前沒有發(fā)現(xiàn)Net Traveler和”紅色十月”幕后的攻擊者有直接關(guān)聯(lián)，但同一個(gè)機(jī)構(gòu)被兩種攻擊行動(dòng)所感染，表明這些重要機(jī)構(gòu)的信息對攻擊者來說是非常有價(jià)值的商品。