近日，卡巴斯基實驗室的專家團隊發(fā)表了一篇最新的關(guān)于Net Traveler的研究報告。新的數(shù)據(jù)表明：一些高級持續(xù)性威脅攻擊者使用Net Traverler家族的惡意程序成功感染和攻陷了40個國家的超過350家重要機構(gòu)。Net Traveler的受害者分布廣泛，包括公共機構(gòu)及私營企業(yè)，其中既有政府機構(gòu)、大使館，還包括石油和天然氣企業(yè)、研究中心、軍方承包商以及政治活動家。

根據(jù)卡巴斯基實驗室報告，Net Traveler從2004年初就開始活躍。但是其活躍最高峰發(fā)生于2010至2013年。最近，Net Traveler背后的攻擊者的興趣轉(zhuǎn)向太空開發(fā)、納米技術(shù)、能源生產(chǎn)、核能、激光、制藥以及通訊，并針對相關(guān)領(lǐng)域開展了網(wǎng)絡(luò)間諜行動。

根據(jù)卡巴斯基安全專家的分析，Net Traveler的感染手段有以下幾種方式：

·含惡意Office文檔附件，其中包括兩種高危漏洞（CVE-2012-0158和CVE-2010-3333）。盡管微軟早已經(jīng)修補了這些漏洞，但其仍然在針對行攻擊中被廣泛使用，并且已證明攻擊非常有效。

·釣魚式攻擊郵件中所含惡意附件的標題說明Net Traveler攻擊者精心設(shè)計了攻擊，其目的是為了感染那些重要目標。這些惡意附件的標題包括以下幾種：

2013年軍隊網(wǎng)絡(luò)安全策略.doc

報告——亞洲防御開支劇增.doc

o行動詳情.doc

o達賴喇嘛訪問瑞士的第四天

o言論自由.doc

在對其進行分析過程中，卡巴斯基的專家團隊從多個Net Traveler的命令和控制服務(wù)器（C&C）獲取到感染日志。命令和控制服務(wù)器用來在受感染計算機上安裝其它惡意軟件，并將竊取到的數(shù)據(jù)泄漏出來?？ò退够鶎嶒炇业膶＜矣嬎愠龃鎯υ贜et Traveler的命令和控制服務(wù)器上的竊取到的數(shù)據(jù)容量超過22GB。從受感染計算機上泄漏的數(shù)據(jù)通常包括文件系統(tǒng)列表、鍵盤擊鍵記錄、各種類型的文件（包括PDF、Excel表格和Word文檔等文件）。此外，Net Traveler工具還能夠安裝用于竊取信息的惡意軟件作為后門程序，并對其進行配置，用于竊取其它類型的敏感信息，例如應(yīng)用程序的配置詳情或計算機輔助設(shè)計文件。

根據(jù)卡巴斯基實驗室對Net Traveler的C&C數(shù)據(jù)進行分析，有40個國家和地區(qū)的350家機構(gòu)遭受感染，其中包括美國、加拿大、英國、俄羅斯、智利、摩洛哥、希臘、比利時、奧地利、烏克蘭、立陶宛、白俄羅斯、澳大利亞、日本、中國、蒙古、伊朗、土耳其、印度、巴基斯坦、韓國、泰國、卡塔爾、哈薩克斯坦和約旦。

而結(jié)合C&C數(shù)據(jù)分析，卡巴斯基實驗室專家還使用卡巴斯基安全網(wǎng)絡(luò)（KSN）進一步確認感染數(shù)據(jù)?？ò退够踩W(wǎng)絡(luò)檢測到的受害者排名前十位的國家分別為蒙古、俄羅斯、印度、哈薩克斯坦、吉爾吉斯斯坦、中國、塔吉克斯坦、韓國、西班牙和德國。

而在對Net Traveler分析過程中，卡巴斯基的安全專家還發(fā)現(xiàn)有6家受感染機構(gòu)同時被Net Traveler和”紅色十月”所感染。”紅色十月”是另一種網(wǎng)絡(luò)間諜攻擊行動，由卡巴斯基實驗室在2013年1月所發(fā)現(xiàn)。雖然目前沒有發(fā)現(xiàn)Net Traveler和”紅色十月”幕后的攻擊者有直接關(guān)聯(lián)，但同一個機構(gòu)被兩種攻擊行動所感染，表明這些重要機構(gòu)的信息對攻擊者來說是非常有價值的商品。