Een rapport van een Amerikaans beveiligingsbedrijf dat waarschuwt hoe Chinese hackers via spear phishingaanvallen organisaties infiltreren, wordt nu door aanvallers als lokaas voor soortgelijke aanvallen gebruikt. Beveiligingsbedrijf Secuert waarschuwt dat het twee verschillende spear phishingaanvallen heeft gezien die het rapport van Mandiant als lokaas gebruiken.

Bij spear phishingaanvallen worden op maat gemaakte e-mails naar geselecteerde doelwitten gestuurd. De eerste aanval die het rapport van Mandiant gebruikt is tegen Japanse entiteiten gericht. De e-mail gebruikt als bijlage het bestand Mandiant.pdf en toont alleen de eerste pagina van het rapport. In de achtergrond wordt echter een beveiligingslek in Adobe Reader gebruikt dat pas op 20 februari door Adobe werd gepatcht.

Symantec laat weten dat, net als bij veel gerichte aanvallen, de e-mail vanaf een gratis e-mailaccount is verstuurd. Daarnaast zou de inhoud van de e-mail niet in perfect Japans zijn. "Het is duidelijk voor een Japans iemand die de e-mail leest dat die niet door iemand geschreven is van wie Japans de moedertaal is."

Timing
De tweede aanval die werd ontdekt zou het op Chinese journalisten hebben voorzien. Bij deze aanvallen is het bestand "Mandiant_APT2_Report.pdf" als bijlage toegevoegd. In dit geval wordt er een beveiligingslek in Adobe Reader uit 2011 gebruikt.

"De twee gerichte aanvallen zijn waarschijnlijk niet van dezelfde groep afkomstig, maar de timing van de aanvallen is erg interessant, aangezien beide op dezelfde dag verspreid werden", aldus Seculert.