2 月 4 日, 360 安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例, 攻击者利用肺炎疫情相关题材作为诱饵文档, 对抗击疫情的医疗工作领域发动 APT 攻击.
事件回顾
360 安全大脑在发现遭受攻击后, 立即对这一破坏行为展开追踪. 调查后发现, 这是一起由印度黑客组织 APT 发起的攻击.
该攻击组织采用鱼叉式钓鱼攻击方式, 通过邮件进行投递, 利用当前肺炎疫情等相关题材作为诱饵文档, 部分相关诱饵文档如: 武汉旅行信息收集申请表. xlsm, 进而通过相关提示诱导受害者执行宏命令.
宏代码如下:
攻击者将关键数据存在 worksheet 里, worksheet 被加密, 宏代码里面使用 key 去解密然后取数据. 然而, 其用于解密数据的 Key 为: nhc_gover, 而 nhc 正是国家卫生健康委员会的英文缩写.
一旦宏命令被执行, 攻击者就能访问 hxxp://45.xxx.xxx.xx/Windows.sct, 并使用 scrobj.dll 远程执行 Sct 文件, 这是一种利用 INF Script 下载执行脚本的技术.
这里可以说得再详细一些, Sct 为一段 JS 脚本.
JS 脚本会再次访问下载 hxxp://45.xxx.xxx.xx/Windows.jpeg, 并将其重命名为 temp.exe, 存放于用户的启动文件夹下, 实现自启动驻留.
值得一提的是, 此次攻击所使用的后门程序与之前 360 安全大脑在南亚地区 APT 活动总结中已披露的已知印度组织专属后门 cnc_client 相似, 通过进一步对二进制代码进行对比分析, 其通讯格式功能等与 cnc_client 后门完全一致. 后经确定, 攻击者是来源于印度的 APT 组织.
印度 APT 组织是谁?
早在 2018 年, 美国安全事件处理公司 Volexity 就指出, 其安全团队在同年 3 月和 4 月发现了多起鱼叉式网络钓鱼攻击活动, 而这些活动都被认为是由印度 APT 黑客组织 "Patchwork" 发起的, 该组织通常也被称为 "Dropping Elephant".
像 Patchwork 这类 APT 黑客组织, 除了发送用于传播恶意软件的诱饵文档之外, 还会利用其电子邮件中的独特跟踪链接, 以识别都有哪些收件人打开了电子邮件. 南亚地区的 APT 攻击组织也相对较多, 较有代表性的包括 SideWinder(响尾蛇),BITTER(蔓灵花), 白象, Donot 等.
趁火打劫, 意欲何为?
针对本次印度 APT 组织此时对我国医疗机构发动定向攻击的原因, 360 安全团队在官方微信公众号进行了部分猜测, 如下:
第一, 为获取最新, 最前沿的医疗新技术. 这与该印度 APT 组织的攻击重点一直在科研教育领域有着莫大关系;
第二, 为进一步截取医疗设备数据. 为打赢这场异常艰难的疫情之战, 我国投入了重大的人力, 物力, 财力资源, 尤其是医疗设备上. 所以, 该组织此次发动攻击, 能进一步截取更多医疗设备数据信息;
第三, 扰乱国家稳定, 制造恐慌. 疫情面前, 不仅是一场与生物病毒的战役, 更是一场民心之战, 只有民心定了, 才能保证社会稳定. 而该组织在此时发动攻击, 无疑给疫情制造了更多恐慌.
结束语
网络安全与信息安全一直是需要重点关注的事情. 过去几年, 安全相关事件频频登上头条新闻, 从医疗信息, 账户凭证, 企业电子邮件到企业内部敏感数据. 为避免此类事件发生, 企业或个人首先需要提高安全意识, 其次采取恰当的安全手段进行防范. 疫情当前, 我们尤为不要放松警惕, 特别是与医疗相关的关键领域.
来源: http://netsecurity.51cto.com/art/202002/610008.htm