疫情亦网情,新冠病毒之后网络空间成疫情战役的又一重要战场。
【快讯】在抗击疫情当下,却有国家级黑客组织趁火搅局。今天,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。疫情攻坚战本就不易,国家级黑客组织的入局让这场战役越发维艰。可以说,疫情战早已与网络空间战紧密相连,网络空间成疫情战役的又一重要战场。
一波未平一波又起,2020年这一年似乎格外的难。
在抗击疫情面前,有人守望相助,有人却趁火打劫。而若这里的“人”上升到一个“国家”层面,而这个黑客组织打劫的对象却是奋战在前线的抗疫医疗领域的话,那无疑是给这场本就维艰的战役雪上加霜,而这个举动更是令人愤慨至极!
肺炎疫情相关题材成诱饵文档,这波攻击者简直丧尽天良
近日,360安全大脑捕获了一例利用肺炎疫情相关题材投递的APT攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,通过邮件投递攻击,并诱导用户执行宏,下载后门文件并执行。
对攻击者进一步追根溯源,幕后竟是国家级APT组织布局
在进一步分析中,我们不仅清楚了解到攻击者的“路数”,更进一步揭开了此次攻击者的幕后真凶。
首先,攻击者以邮件为投递方式,部分相关诱饵文档示例如:武汉旅行信息收集申请表.xlsm,并通过相关提示诱导受害者执行宏命令。
这里值得一提的是:
攻击者其将关键数据存在worksheet里,worksheet被加密,宏代码里面使用key去解密然后取数据。
然而其用于解密数据的Key为:nhc_gover,而nhc正是中华人民共和国国家卫生健康委员会的英文缩写。
更为恐怖的是,一旦宏命令被执行,攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用scrobj.dll远程执行Sct文件,这是一种利用INF Script下载执行脚本的技术。
这里可以说的在细一些,Sct为一段JS脚本。
而JS脚本则会再次访问下载hxxp://45.xxx.xxx.xx/window.jpeg,并将其重命名为temp.exe,存放于用户的启动文件夹下,实现自启动驻留。
此次攻击所使用的后门程序与之前360安全大脑在南亚地区APT活动总结中已披露的已知的南亚组织专属后门cnc_client相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与cnc_client后门完全一致。可以确定,该攻击者为已披露的南亚组织。
为了进一步证实为南亚组织所为,请看下面的信息:
木马与服务器通信的URL格式与之前发现的完全一致。
木马能够从服务器接收的命令也和之前完全一致。分别为远程shell,上传文件,下载文件。
远程shell
至此,我们已经完全确定此次攻击的幕后真凶就是南亚CNC APT组织!而它此次竟公然利用疫情对我国网络空间、医疗领域发动APT攻击,此举令人愤慨至极!此举简直丧尽天良!
利用疫情发动猛烈攻击,南亚组织简直无所不用极其
无独有偶,在利用疫情对中国发动攻击上,南亚组织简直是无所不用极其。
2月2日,南亚组织研究人员对其于1月31日发表在bioRxiv上的有关新型冠状病毒来源于实验室的论文进行正式撤稿。该南亚组织的人员企图利用此次“疫情”制造一场生物“阴谋论”,霍乱我国抗疫民心。
幸而我们的生物信息学家正努力用科学击败这场他国攻击我国的“阴谋”。
2月2日下午3时左右,中国科学院武汉病毒所研究员石正丽,就在自己个人微信朋友圈发文如下:
然而,事实上,不止于此次南亚组织对我国发动猛烈攻击,早在2019年末时,智库在《年终盘点:南亚APT组织“群魔乱舞”,链条化攻击“环环相扣”》就指出,南亚地区APT组织一直活跃地发动攻击,其中就有不少起是南亚针对我国的。
此次,是它利用“疫情”再次趁火打劫,对我国施以雪上加霜的攻击!此举简直是丧尽天良!
中国有句古话,人生有三不笑:不笑天灾,不笑人祸,不笑疾病。
在抗疫面前,我们所有的前线、中线与后线的所有工作者都在不眠不休的与时间赛跑,与病毒赛跑,在努力打赢这场疫情防御之战。
然而,疫情之战与网络空间之战早已紧密联系在一起,我们永远不能忽略那些敌对势力对我们发动的任何攻击,尤其是在这样一个特殊时刻。敌人明里暗里的加入,无疑给我们打赢这场战役增加了困难,但我们相信我们一定能赢!
加油,中国!
其他资料补充:
关于360高级威胁应对团队(360 ATA Team):
专注于APT攻击、0day漏洞等高级威胁攻击的应急响应团队,团队主要技术领域包括高级威胁沙盒、0day漏洞探针技术和基于大数据的高级威胁攻击追踪溯源。在全球范围内率先发现捕获了包括双杀、噩梦公式、毒针等在内的数十个在野0day漏洞攻击,独家披露了多个针对中国的APT组织的高级行动,团队多人上榜微软TOP100白帽黑客榜,树立了360在威胁情报、0day漏洞发现、防御和处置领域的核心竞争力。
《南亚地区APT组织2019年度攻击活动总结》报告链接:、
http://zt.360.cn/1101061855.p...