这篇文章摘录了部分趋势科技最新白皮书 – “目标攻击的趋势”内的部分重点。

目标系列攻击

目标攻击很少是独立事件。把他们想成是种系列攻击会更贴近事实 – 在一段时间内，对目标尝试发动一连串失败或成功的攻击。攻击者对于受害者的了解会来自之前成功的攻击，在系列攻击内的每次攻击都会影响到之后的特定程度。在这次的案例里，攻击者的信件内容是信息安全相关的主题，而且并不是通用的内容，而是会对各目标而定制化过。电子邮件内的下载链接看起来像是连到攻击目标自己的网站。通常，较少特定程度的攻击会是针对有兴趣的整个族群，目的是获取信息以用在未来更准确的攻击。

此外，一般来说目标也会是多样化的。在这次案例中，Nitro攻击者的目标集中在化工企业，但其他目标也包括了非政府人权组织、汽车公司和国防承包商。

真人的介入

Nitro活动使用的后门程序被称为Poison Ivy。它是一种可被自由使用的木马，可以让攻击者完全且即时的存取被入侵的电脑。一个经常被忽视的目标恶意软件攻击的元件就是它对于即时真人介入的依赖。这也是它们跟自动化僵尸网络/傀儡网络 Botnet的不同。当Poison Ivy后门程序连上攻击者的命令和控制网络，会有人在另一端去开始探索被入侵的电脑和它所属的网络。这个攻击者可以窃取信息，安装额外的恶意软件和入侵同一网络上的其他机器。最重要的是，Poison Ivy木马另一端的人可以对受害者所采取的防御措施加以回应。

切割基础架构网络

攻击者需要部署命令和控制(C&C)网络以维持他们与被入侵电脑的连线。攻击者有时需要维护不同的C&C网络，好让人难以发现它们运作的全貌。使用最初的恶意软件样本、域名和IP位址，我们可以绘制出三组不同的命令和控制网络。