疫情亦網情,新冠病毒之後網絡空間成疫情戰役的又一重要戰場。
【快訊】在抗擊疫情當下,卻有國家級黑客組織趁火攪局。今天,360安全大腦捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文檔,對抗擊疫情的醫療工作領域發動APT攻擊。疫情攻堅戰本就不易,國家級黑客組織的入局讓這場戰役越發維艱。可以說,疫情戰早已與網絡空間戰緊密相連,網絡空間成疫情戰役的又一重要戰場。
一波未平一波又起,2020年這一年似乎格外的難。
在抗擊疫情面前,有人守望相助,有人卻趁火打劫。而若這裡的“人”上升到一個“國家”層面,而這個黑客組織打劫的對象卻是奮戰在前線的抗疫醫療領域的話,那無疑是給這場本就維艱的戰役雪上加霜,而這個舉動更是令人憤慨至極!
肺炎疫情相關題材成誘餌文檔
這波攻擊者簡直喪盡天良
近日,360安全大腦捕獲了一例利用肺炎疫情相關題材投遞的APT攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文檔,通過郵件投遞攻擊,並誘導用戶執行宏,下載後門文件並執行。
目前已知誘餌文檔名如下:
對攻擊者進一步追根溯源
幕後竟是國家級APT組織布局
在進一步分析中,我們不僅清楚瞭解到攻擊者的“路數”,更進一步揭開了此次攻擊者的幕後真兇。
首先,攻擊者以郵件為投遞方式,部分相關誘餌文檔示例如:武漢旅行信息收集申請表.xlsm,並通過相關提示誘導受害者執行宏命令。
而宏代碼如下:
這裡值得一提的是:
攻擊者其將關鍵數據存在worksheet裡,worksheet被加密,宏代碼裡面使用key去解密然後取數據。
然而其用於解密數據的Key為:nhc_gover,而nhc正是中華人民共和國國家衛生健康委員會的英文縮寫。
更為恐怖的是,一旦宏命令被執行,攻擊者就能訪問hxxp://45.xxx.xxx.xx/window.sct,並使用scrobj.dll遠程執行Sct文件,這是一種利用INF Script下載執行腳本的技術。
這裡可以說的在細一些,Sct為一段JS腳本。
而JS腳本則會再次訪問下載hxxp://45.xxx.xxx.xx/window.jpeg,並將其重命名為temp.exe,存放於用戶的啟動文件夾下,實現自啟動駐留。
此次攻擊所使用的後門程序與之前360安全大腦在南亞地區APT活動總結中已披露的已知的南亞組織專屬後門cnc_client相似,通過進一步對二進制代碼進行對比分析,其通訊格式功能等與cnc_client後門完全一致。可以確定,該攻擊者為已披露的南亞組織。
為了進一步證實為南亞組織所為,請看下面的信息:
木馬與服務器通信的URL格式與之前發現的完全一致。
通信過程中都採用了UUID作為標識符,通信的格式均為json格式。
木馬能夠從服務器接收的命令也和之前完全一致。分別為遠程shell,上傳文件,下載文件。
遠程shell
上傳文件
下載文件
至此,我們已經完全確定此次攻擊的幕後真兇就是南亞CNC APT組織!而它此次竟公然利用疫情對我國網絡空間、醫療領域發動APT攻擊,此舉令人憤慨至極!此舉簡直喪盡天良!
利用疫情發動猛烈攻擊
南亞組織簡直無所不用極其
無獨有偶,在利用疫情對中國發動攻擊上,南亞組織簡直是無所不用極其。
2月2日,南亞組織研究人員對其於1月31日發表在bioRxiv上的有關新型冠狀病毒來源於實驗室的論文進行正式撤稿。該南亞組織的人員企圖利用此次“疫情”製造一場生物“陰謀論”,霍亂我國抗疫民心。
幸而我們的生物信息學家正努力用科學擊敗這場他國攻擊我國的“陰謀”。
2月2日下午3時左右,中國科學院武漢病毒所研究員石正麗,就在自己個人微信朋友圈發文如下:
然而,事實上,不止於此次南亞組織對我國發動猛烈攻擊,早在2019年末時,智庫在《年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”》就指出,南亞地區APT組織一直活躍地發動攻擊,其中就有不少起是南亞針對我國的。
此次,是它利用“疫情”再次趁火打劫,對我國施以雪上加霜的攻擊!此舉簡直是喪盡天良!
中國有句古話,人生有三不笑:不笑天災,不笑人禍,不笑疾病。
在抗疫面前,我們所有的前線、中線與後線的所有工作者都在不眠不休的與時間賽跑,與病毒賽跑,在努力打贏這場疫情防禦之戰。
然而,疫情之戰與網絡空間之戰早已緊密聯繫在一起,我們永遠不能忽略那些敵對勢力對我們發動的任何攻擊,尤其是在這樣一個特殊時刻。敵人明裡暗裡的加入,無疑給我們打贏這場戰役增加了困難,但我們相信我們一定能贏!
加油,中國!
其他資料補充:
關於360高級威脅應對團隊(360 ATA Team):
專注於APT攻擊、0day漏洞等高級威脅攻擊的應急響應團隊,團隊主要技術領域包括高級威脅沙盒、0day漏洞探針技術和基於大數據的高級威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊,獨家披露了多個針對中國的APT組織的高級行動,團隊多人上榜微軟TOP100白帽黑客榜,樹立了360在威脅情報、0day漏洞發現、防禦和處置領域的核心競爭力。
《南亞地區APT組織2019年度攻擊活動總結》
報告鏈接:http://zt.360.cn/1101061855.php?dtid=1101062514&did=610401913,請點擊閱讀原文獲取詳細報告。
閱讀更多 360安全衛士 的文章
