昨天我们了解到中国红客联盟在官网对印度APT黑客组织发出警告。最近,小文看了一篇自媒体文章说发起攻击的印度黑客组织是Patchwork。
那么对中国发起进攻的黑客组织真的是Patchwork吗?
中国红客联盟官网首页
其实,截止到今天,印度APT黑客的进攻拦截者360安全大脑都没有明确指出进攻的APT黑客组织是哪一个,仅仅只是得出了部分进攻者的信息。
360安全大脑核心能力
该攻击组织来自印度,采用鱼叉式钓鱼攻击方式,通过邮件进行投递,利用当前肺炎疫情等相关题材作为诱饵文档,进而通过相关提示诱导受害者执行宏命令。
360安全大脑得到的有用信息有:
1. 该进攻组织来自印度。
2. 该进攻组织采用的进攻方式为鱼叉式钓鱼攻击。
而在印度或印度附近比较有名的APT黑客组织有Patchwork、SideWinder(响尾蛇)、BITTER(蔓灵花)、白象、Donot 等。
这些APT黑客组织除了发送用于传播恶意软件的诱饵文档之外,还会利用其电子邮件中的独特跟踪链接,以识别都有哪些收件人打开了电子邮件。
其中嫌疑比较大的有:
蔓灵花(T-APT-17、BITTER)APT组织,该组织是一个长期针对中国、巴基斯坦等国家进行攻击活动的APT组织,该APT组织为目前活跃的针对境内目标进行攻击的境外APT组织之一。该组织主要针对政府、军工业、电力、核等单位进行攻击,窃取敏感资料,具有强烈的政治背景。该组织最早在2016由美国安全公司Forcepoint进行了披露,并且命名为"BITTER",同年国内360也跟进发布了分析报告,命名为"蔓灵花"。
Patchwork 又被称为 Dropping Elephant,该组织以中国相关主题作为诱饵,比如中国南海问题,进而对目标的网络进行攻击。Patchwork 组织的攻击目标遍布世界各地,尽管超过半数的攻击仍集中在美国,但中国、日本、东南亚、英国和土耳其同样受到该组织的攻击。
由于该组织所发起的攻击,主要针对的是比较机密的数据而不是为了获利,所以趋势科技认为此组织应该属于间谍组织。最初,Patchwork 组织的目标多是政府或与政府有间接联系的机构。但随后,该组织扩大目标范围,将更多行业企业作为攻击目标。 目前Patchwork的主要攻击对象依然是公共部门。
早在 2018 年,美国安全事件处理公司 Volexity 就指出,其安全团队在同年 3 月和 4 月发现了多起鱼叉式网络钓鱼攻击活动,而这些活动都被认为是由印度 APT 黑客组织"Patchwork"发起的。
但相较于patchwork,蔓灵花对中国的进攻次数更多,危害性更大。
也就是说,仅仅是Patchwork黑客组织的进攻方式和此次利用疫情攻击中国的APT黑客组织的攻击方式比较相似而已,不排除有其他组织恶意扮演"Patchwork"角色以挑拨关系或其他组织采用与Patchwork相同的攻击方式的可能性,因此并不能完全确定此次的进攻组织就是Patchwork组织。
正如上文分析,Patchwork更像一个间谍组织,而蔓灵花则有着强大的政治背景,因此无论是哪一个组织对中国发起的进攻,其背后都极有可能有着印度政府的授意。这也是中国红客联盟在发布公告时说的是 不排除对"印度或印度黑客组织"发起进攻的可能性 的原因。
中国红客联盟对印度的警告
- 关注我,带你了解更多消息!
- 明天带你了解,红盟是否发起了反击?反击过程或结果为什么不公布?
閱讀更多 中國小文 的文章
