网路间谍活动盛行，企业机密资料岌岌可危，根据趋势科技报告指出，自去(2012)年10月开始的Safe网路间谍行动，至今已有12000个IP地址受害，范围涵盖100多个国家，受害组织包括政府部门、科技公司、媒体、学术研究机构、非政府组织…等不同单位。

　　Safe行动采用鱼叉式网路钓鱼(spear phishing)手法，攻击者会先寄出一封夹带恶意附件的E-mail给攻击目标，当受害者打开恶意附件、电脑就会自动下载恶意程序，并与远端中继站建立连线。

　　为了降低被发现的风险，攻击者依据攻击目标的不同，分别使用2个不同的C&C服务器，此外，攻击者还透过虚拟私人网路(VPN)和代理工具，让网路服务供应商的IP地址的地理位置更多样性。

　　在第一组攻击行动中，攻击者散布内容与西藏和蒙古相关的Email，并夹带一个恶意word文件，该份恶意文件能利用微软在2012年4月已经修补的Word漏洞，入侵使用者电脑。根据C&C服务器存取记录，共有来自11个国家的243个IP受害，不过在趋势介入调查时，只剩下其中3个来自蒙古和苏丹南部的IP仍然十分频繁的进行存取。

　　第二组攻击范围更大，根据C&C服务器存取记录，受害者来自116个国家、共有11563组IP地址，不过实际受害者应该没有这么多，平均而言，每天约有71个IP地址与该C&C服务器之间频繁沟通，前五名受害国家分别为印度、美国、中国、巴基斯坦、菲律宾和俄罗斯。

　　攻击者在Safe间谍活动中所使用的恶意程序，不仅专门为窃取资料而设计，同时还整合其他模组以增加功能，如：窃取IE和Firefox上储存的密码、窃取储存在Windows上的远端桌面协定(Remote Desktop Protocol，RDP)凭证…等，根据市场推断，其开发者与中国地下网路犯罪集团有关，而且还使用了与中国某知名大学所做研究有关的技术，以及某一家中国网路服务业者的塬始码资料库，虽然目前还无法确定攻击者的意图和身分，但种种迹象皆显示与中国有关。

　　事实上，自今(2013)年以来，网路间谍活动频传，鱼叉式网路钓鱼更是骇客常用的攻击手法，企业除了提升病毒防御能力之外，也应该提醒所有员工在开启信件和讯息时要格外留意是否为安全的来源，避免成为下一个受害者。

　　责任编辑：dwan