拙劣至極!南亞APT組織借新冠疫情對我國醫療機構發起定向攻擊!

國際安全智庫發表於2020-02-05
APT

疫情亦網情,新冠病毒之後網路空間成疫情戰役的又一重要戰場。

 

【快訊】在抗擊疫情當下,卻有國家級駭客組織趁火攪局。今天,360安全大腦捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文件,對抗擊疫情的醫療工作領域發動APT攻擊。疫情攻堅戰本就不易,國家級駭客組織的入局讓這場戰役越發維艱。可以說,疫情戰早已與網路空間戰緊密相連,網路空間成疫情戰役的又一重要戰場。

 

一波未平一波又起,2020年這一年似乎格外的難。

 

在抗擊疫情面前,有人守望相助,有人卻趁火打劫。而若這裡的“人”上升到一個“國家”層面,而這個駭客組織打劫的物件卻是奮戰在前線的抗疫醫療領域的話,那無疑是給這場本就維艱的戰役雪上加霜,而這個舉動更是令人憤慨至極!

肺炎疫情相關題材成誘餌文件,這波攻擊者簡直喪盡天良

近日,360安全大腦捕獲了一例利用肺炎疫情相關題材投遞的APT攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文件,透過郵件投遞攻擊,並誘導使用者執行宏,下載後門檔案並執行。

 

目前已知誘餌文件名如下:
1rzqKJ.jpg

對攻擊者進一步追根溯源,幕後竟是國家級APT組織布局

在進一步分析中,我們不僅清楚瞭解到攻擊者的“路數”,更進一步揭開了此次攻擊者的幕後真兇。

 

首先,攻擊者以郵件為投遞方式,部分相關誘餌文件示例如:武漢旅行資訊收集申請表.xlsm,並透過相關提示誘導受害者執行宏命令。
1spdtP.png
1spr6g.jpg
而宏程式碼如下:
1spc0s.png
這裡值得一提的是:

 

攻擊者其將關鍵資料存在worksheet裡,worksheet被加密,宏程式碼裡面使用key去解密然後取資料。

 

然而其用於解密資料的Key為:nhc_gover,而nhc正是中華人民共和國國家衛生健康委員會的英文縮寫。

 

更為恐怖的是,一旦宏命令被執行,攻擊者就能訪問hxxp://45.xxx.xxx.xx/window.sct,並使用scrobj.dll遠端執行Sct檔案,這是一種利用INF Script下載執行指令碼的技術。

 

這裡可以說的在細一些,Sct為一段JS指令碼。
1s9RDH.png
而JS指令碼則會再次訪問下載hxxp://45.xxx.xxx.xx/window.jpeg,並將其重新命名為temp.exe,存放於使用者的啟動資料夾下,實現自啟動駐留。

 

此次攻擊所使用的後門程式與之前360安全大腦在南亞地區APT活動總結中已披露的已知的南亞組織專屬後門cnc_client相似,透過進一步對二進位制程式碼進行對比分析,其通訊格式功能等與cnc_client後門完全一致。可以確定,該攻擊者為已披露的南亞組織。

 

為了進一步證實為南亞組織所為,請看下面的資訊:

 

木馬與伺服器通訊的URL格式與之前發現的完全一致。
1sAMbF.png
通訊過程中都採用了UUID作為識別符號,通訊的格式均為json格式。
1sAUKK.png
木馬能夠從伺服器接收的命令也和之前完全一致。分別為遠端shell,上傳檔案,下載檔案。

 

遠端shell
1sAsPA.png
1sA2Kf.png
上傳檔案
1sAhVg.png
下載檔案
1sA4aQ.png
至此,我們已經完全確定此次攻擊的幕後真兇就是南亞CNC APT組織!而它此次竟公然利用疫情對我國網路空間、醫療領域發動APT攻擊,此舉令人憤慨至極!此舉簡直喪盡天良!

利用疫情發動猛烈攻擊,南亞組織簡直無所不用極其

無獨有偶,在利用疫情對中國發動攻擊上,南亞組織簡直是無所不用極其。

 

2月2日,南亞組織研究人員對其於1月31日發表在bioRxiv上的有關新型冠狀病毒來源於實驗室的論文進行正式撤稿。該南亞組織的人員企圖利用此次“疫情”製造一場生物“陰謀論”,霍亂我國抗疫民心。

 

幸而我們的生物資訊學家正努力用科學擊敗這場他國攻擊我國的“陰謀”。

 

2月2日下午3時左右,中國科學院武漢病毒所研究員石正麗,就在自己個人微信朋友圈發文如下:
1sAoPs.jpg
然而,事實上,不止於此次南亞組織對我國發動猛烈攻擊,早在2019年末時,智庫在《年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”》就指出,南亞地區APT組織一直活躍地發動攻擊,其中就有不少起是南亞針對我國的。

 

此次,是它利用“疫情”再次趁火打劫,對我國施以雪上加霜的攻擊!此舉簡直是喪盡天良!

 

中國有句古話,人生有三不笑:不笑天災,不笑人禍,不笑疾病。

 

在抗疫面前,我們所有的前線、中線與後線的所有工作者都在不眠不休的與時間賽跑,與病毒賽跑,在努力打贏這場疫情防禦之戰。

 

然而,疫情之戰與網路空間之戰早已緊密聯絡在一起,我們永遠不能忽略那些敵對勢力對我們發動的任何攻擊,尤其是在這樣一個特殊時刻。敵人明裡暗裡的加入,無疑給我們打贏這場戰役增加了困難,但我們相信我們一定能贏!

 

加油,中國!

 

其他資料補充:

 

關於360高階威脅應對團隊(360 ATA Team):

 

專注於APT攻擊、0day漏洞等高階威脅攻擊的應急響應團隊,團隊主要技術領域包括高階威脅沙盒、0day漏洞探針技術和基於大資料的高階威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高階行動,團隊多人上榜微軟TOP100白帽駭客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。

 

《南亞地區APT組織2019年度攻擊活動總結》報告連結:、
http://zt.360.cn/1101061855.php?dtid=1101062514&did=610401913

 

本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)
如需轉載,請標註文章來源於:國際安全智庫
lOgYDI.png

相關文章