freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

拙劣至极!南亚APT组织借新冠疫情对我国医疗机构发起定向攻击!
  • 关注
拙劣至极!南亚APT组织借新冠疫情对我国医疗机构发起定向攻击!
2020-02-05 14:53:03

​疫情亦网情,新冠病毒之后网络空间成疫情战役的又一重要战场。 

【快讯】在抗击疫情当下,却有国家级黑客组织趁火搅局。今天,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。疫情攻坚战本就不易,国家级黑客组织的入局让这场战役越发维艰。可以说,疫情战早已与网络空间战紧密相连,网络空间成疫情战役的又一重要战场。

一波未平一波又起,2020年这一年似乎格外的难。

在抗击疫情面前,有人守望相助,有人却趁火打劫。而若这里的“人”上升到一个“国家”层面,而这个黑客组织打劫的对象却是奋战在前线的抗疫医疗领域的话,那无疑是给这场本就维艰的战役雪上加霜,而这个举动更是令人愤慨至极! 

肺炎疫情相关题材成诱饵文档,这波攻击者简直丧尽天良

近日,360安全大脑捕获了一例利用肺炎疫情相关题材投递的APT攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,通过邮件投递攻击,并诱导用户执行宏,下载后门文件并执行。
目前已知诱饵文档名如下:1580873161_5e3a35c947a79.jpeg!small

 对攻击者进一步追根溯源,幕后竟是国家级APT组织布局

在进一步分析中,我们不仅清楚了解到攻击者的“路数”,更进一步揭开了此次攻击者的幕后真凶。首先,攻击者以邮件为投递方式,部分相关诱饵文档示例如:武汉旅行信息收集申请表.xlsm,并通过相关提示诱导受害者执行宏命令。

1580873248_5e3a36202adee.png!small

1580883430_5e3a5de6cc2a7.jpeg!small而宏代码如下:

4.png

这里值得一提的是:

攻击者其将关键数据存在worksheet里,worksheet被加密,宏代码里面使用key去解密然后取数据。

然而其用于解密数据的Key为:nhc_gover,而nhc正是中华人民共和国国家卫生健康委员会的英文缩写。
更为恐怖的是,一旦宏命令被执行,攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用scrobj.dll远程执行Sct文件,这是一种利用INF Script下载执行脚本的技术。

这里可以说的在细一些,Sct为一段JS脚本。1580883646_5e3a5ebe5c088.png!small而JS脚本则会再次访问下载hxxp://45.xxx.xxx.xx/window.jpeg,并将其重命名为temp.exe,存放于用户的启动文件夹下,实现自启动驻留。

此次攻击所使用的后门程序与之前360安全大脑在南亚地区APT活动总结中已披露的已知的南亚组织专属后门cnc_client相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与cnc_client后门完全一致。可以确定,该攻击者为已披露的南亚组织。

为了进一步证实为南亚组织所为,请看下面的信息:

木马与服务器通信的URL格式与之前发现的完全一致。

1580884036_5e3a6044d1d71.png!small通信过程中都采用了UUID作为标识符,通信的格式均为json格式。

1580884089_5e3a607960257.png!small木马能够从服务器接收的命令也和之前完全一致。分别为远程shell,上传文件,下载文件。

远程shell

1580884109_5e3a608d94a9d.png!small

1580884119_5e3a6097f2d9c.png!small

上传文件1580884248_5e3a611844675.png!small下载文件

1580884606_5e3a627e93703.png!small

至此,我们已经完全确定此次攻击的幕后真凶就是南亚CNC APT组织!而它此次竟公然利用疫情对我国网络空间、医疗领域发动APT攻击,此举令人愤慨至极!此举简直丧尽天良!

利用疫情发动猛烈攻击,南亚组织简直无所不用极其

无独有偶,在利用疫情对中国发动攻击上,南亚组织简直是无所不用极其。

2月2日,南亚组织研究人员对其于1月31日发表在bioRxiv上的有关新型冠状病毒来源于实验室的论文进行正式撤稿。该南亚组织的人员企图利用此次“疫情”制造一场生物“阴谋论”,霍乱我国抗疫民心。

幸而我们的生物信息学家正努力用科学击败这场他国攻击我国的“阴谋”。

2月2日下午3时左右,中国科学院武汉病毒所研究员石正丽,就在自己个人微信朋友圈发文如下:

1580885041_5e3a643155dd4.jpeg!small

然而,事实上,不止于此次南亚组织对我国发动猛烈攻击,早在2019年末时,智库在《年终盘点:南亚APT组织“群魔乱舞”,链条化攻击“环环相扣”》就指出,南亚地区APT组织一直活跃地发动攻击,其中就有不少起是南亚针对我国的。

此次,是它利用“疫情”再次趁火打劫,对我国施以雪上加霜的攻击!此举简直是丧尽天良!

 

中国有句古话,人生有三不笑:不笑天灾,不笑人祸,不笑疾病。

在抗疫面前,我们所有的前线、中线与后线的所有工作者都在不眠不休的与时间赛跑,与病毒赛跑,在努力打赢这场疫情防御之战。

然而,疫情之战与网络空间之战早已紧密联系在一起,我们永远不能忽略那些敌对势力对我们发动的任何攻击,尤其是在这样一个特殊时刻。敌人明里暗里的加入,无疑给我们打赢这场战役增加了困难,但我们相信我们一定能赢!

加油,中国!

其他资料补充:

关于360高级威胁应对团队(360 ATA Team):专注于APT攻击、0day漏洞等高级威胁攻击的应急响应团队,团队主要技术领域包括高级威胁沙盒、0day漏洞探针技术和基于大数据的高级威胁攻击追踪溯源。在全球范围内率先发现捕获了包括双杀、噩梦公式、毒针等在内的数十个在野0day漏洞攻击,独家披露了多个针对中国的APT组织的高级行动,团队多人上榜微软TOP100白帽黑客榜,树立了360在威胁情报、0day漏洞发现、防御和处置领域的核心竞争力。

《南亚地区APT组织2019年度攻击活动总结》

报告链接:http://zt.360.cn/1101061855.php?dtid=1101062514&did=610401913,请点击阅读原文获取详细报告。



本文为国际安全智库作品 (微信公众号:guoji-anquanzhiku)

如需转载,请标注文章来源于:国际安全智库

 freebuf封底.png

# apt # 东南亚攻击活动 # 新型冠状病毒
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者