拙劣至極!南亞APT組織借新冠疫情對我國醫療機構發起定向攻擊!
疫情亦網情,新冠病毒之後網路空間成疫情戰役的又一重要戰場。
【快訊】在抗擊疫情當下,卻有國家級黑客組織趁火攪局。今天,360安全大腦捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文件,對抗擊疫情的醫療工作領域發動APT攻擊。疫情攻堅戰本就不易,國家級黑客組織的入局讓這場戰役越發維艱。可以說,疫情戰早已與網路空間戰緊密相連,網路空間成疫情戰役的又一重要戰場。
一波未平一波又起,2020年這一年似乎格外的難。
在抗擊疫情面前,有人守望相助,有人卻趁火打劫。而若這裡的“人”上升到一個“國家”層面,而這個黑客組織打劫的物件卻是奮戰在前線的抗疫醫療領域的話,那無疑是給這場本就維艱的戰役雪上加霜,而這個舉動更是令人憤慨至極!
肺炎疫情相關題材成誘餌文件,這波攻擊者簡直喪盡天良
近日,360安全大腦捕獲了一例利用肺炎疫情相關題材投遞的APT攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文件,通過郵件投遞攻擊,並誘導使用者執行巨集,下載後門檔案並執行。
目前已知誘餌文件名如下:
對攻擊者進一步追根溯源,幕後竟是國家級APT組織布局
在進一步分析中,我們不僅清楚瞭解到攻擊者的“路數”,更進一步揭開了此次攻擊者的幕後真凶。
首先,攻擊者以郵件為投遞方式,部分相關誘餌文件示例如:武漢旅行資訊收集申請表.xlsm,並通過相關提示誘導受害者執行巨集命令。
而巨集程式碼如下:
這裡值得一提的是:
攻擊者其將關鍵資料存在worksheet裡,worksheet被加密,巨集程式碼裡面使用key去解密然後取資料。
然而其用於解密資料的Key為:nhc_gover,而nhc正是中華人民共和國國家衛生健康委員會的英文縮寫。
更為恐怖的是,一旦巨集命令被執行,攻擊者就能訪問hxxp://45.xxx.xxx.xx/window.sct,並使用scrobj.dll遠端執行Sct檔案,這是一種利用INF Script下載執行指令碼的技術。
這裡可以說的在細一些,Sct為一段JS指令碼。
而JS指令碼則會再次訪問下載hxxp://45.xxx.xxx.xx/window.jpeg,並將其重新命名為temp.exe,存放於使用者的啟動資料夾下,實現自啟動駐留。
此次攻擊所使用的後門程式與之前360安全大腦在南亞地區APT活動總結中已披露的已知的南亞組織專屬後門cnc_client相似,通過進一步對二進位制程式碼進行對比分析,其通訊格式功能等與cnc_client後門完全一致。可以確定,該攻擊者為已披露的南亞組織。
為了進一步證實為南亞組織所為,請看下面的資訊:
木馬與伺服器通訊的URL格式與之前發現的完全一致。
通訊過程中都採用了UUID作為識別符號,通訊的格式均為json格式。
木馬能夠從伺服器接收的命令也和之前完全一致。分別為遠端shell,上傳檔案,下載檔案。
遠端shell
上傳檔案
下載檔案
至此,我們已經完全確定此次攻擊的幕後真凶就是南亞CNC APT組織!而它此次竟公然利用疫情對我國網路空間、醫療領域發動APT攻擊,此舉令人憤慨至極!此舉簡直喪盡天良!
利用疫情發動猛烈攻擊,南亞組織簡直無所不用極其
無獨有偶,在利用疫情對中國發動攻擊上,南亞組織簡直是無所不用極其。
2月2日,南亞組織研究人員對其於1月31日發表在bioRxiv上的有關新型冠狀病毒來源於實驗室的論文進行正式撤稿。該南亞組織的人員企圖利用此次“疫情”製造一場生物“陰謀論”,霍亂我國抗疫民心。
幸而我們的生物資訊學家正努力用科學擊敗這場他國攻擊我國的“陰謀”。
2月2日下午3時左右,中國科學院武漢病毒所研究員石正麗,就在自己個人微信朋友圈發文如下:
然而,事實上,不止於此次南亞組織對我國發動猛烈攻擊,早在2019年末時,智庫在《年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”》就指出,南亞地區APT組織一直活躍地發動攻擊,其中就有不少起是南亞針對我國的。
此次,是它利用“疫情”再次趁火打劫,對我國施以雪上加霜的攻擊!此舉簡直是喪盡天良!
中國有句古話,人生有三不笑:不笑天災,不笑人禍,不笑疾病。
在抗疫面前,我們所有的前線、中線與後線的所有工作者都在不眠不休的與時間賽跑,與病毒賽跑,在努力打贏這場疫情防禦之戰。
然而,疫情之戰與網路空間之戰早已緊密聯絡在一起,我們永遠不能忽略那些敵對勢力對我們發動的任何攻擊,尤其是在這樣一個特殊時刻。敵人明裡暗裡的加入,無疑給我們打贏這場戰役增加了困難,但我們相信我們一定能贏!
加油,中國!
其他資料補充:
關於360高階威脅應對團隊(360 ATA Team):
專注於APT攻擊、0day漏洞等高階威脅攻擊的應急響應團隊,團隊主要技術領域包括高階威脅沙盒、0day漏洞探針技術和基於大資料的高階威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高階行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。
《南亞地區APT組織2019年度攻擊活動總結》報告連結:、
http://zt.360.cn/1101061855.php?dtid=1101062514&did=610401913
本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)
如需轉載,請標註文章來源於:國際安全智庫
相關文章
- 境外“暗駭客棧”組織對國內企業高管發起APT攻擊APT
- 印度APT對我國醫療機構發起攻擊;5G安全報告發布;黑莓手機將於8月停售APT
- 南亞APT組織Bitter正在針對中國的核能機構進行網路攻擊APT
- 疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊APT
- “透明部落”APT組織攜新型武器—USB,向政府和軍隊發起新一輪攻擊APT
- 獨家揭祕“拍拍熊”(APT-C-37):持續對某武裝組織發起攻擊!APT
- Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析APT
- 年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”APT
- 俄羅斯支援的DNC黑客組織對華盛頓智庫發起攻擊黑客
- 追溯朝鮮APT組織Lazarus的攻擊歷程APT
- 多起網路釣魚攻擊借勢新冠疫情!360安全大腦強力攔截
- 綠盟威脅情報中心報告:疫情期間境外黑客發起對我國網路攻擊案例黑客
- 安全公司FireEye再被攻擊!劍指俄羅斯APT組織APT
- 隱寫術、小火龍與AgentVX:APT組織Evilnum新攻擊活動詳細分析APT
- 德國官員稱俄羅斯黑客組織APT28去年對其發動網路攻擊黑客APT
- 深入剖析某國外組織針對中國企業的APT攻擊(CVE-2015-8651)APT
- FireEye遭APT攻擊?!針對企業的APT攻擊是如何發生的?APT
- APT攻擊APT
- 【黑客追擊】境外黑客組織提前行動,瞄準我國公司實施網路攻擊黑客
- 疫情最新動態;Win7新Bug阻止使用者關機或重啟;境外黑客擬對我國監控系統發起攻擊Win7黑客
- 基於上下文感知計算的APT攻擊組織追蹤方法APT
- APT組織Lorec53(洛瑞熊)發動多輪針對烏克蘭的網路攻擊活動APT
- 安全漏洞在網路攻擊中影響多大?勒索組織趁漏洞修補時機發起攻擊
- 烈火燒不盡的“惡性毒草”—— 摩訶草APT組織的攻擊活動APT
- WHO:疫情期間世界衛生組織網站遭受網路攻擊翻倍網站
- 伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊黑客
- 境外黑客團隊“白象”突然活躍,針對我國特定單位和個人發起攻擊黑客
- 非洲一國遭攻擊斷網或是黑客組織在練手黑客
- 微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動微軟黑客
- 什麼是APT攻擊?APT攻擊有什麼主要特徵?APT特徵
- 【安全篇】APT攻擊是什麼?APT攻擊有哪些危害?APT
- APT攻擊備忘APT
- APT組織檔案館|2021年度APT組織活動態勢分析APT
- 披露美國中央情報局CIA攻擊組織(APT-C-39)對中國關鍵領域長達十一年的網路滲透攻擊APT
- 工控系統再迎大波瀾,伊朗APT組織將其作為重點攻擊目標APT
- 對某單位的 APT 攻擊樣本分析APT
- SWEED駭客組織攻擊活動分析報告
- APT組織跟蹤與溯源APT