疫情亦网情, 新冠病毒之后网络空间成疫情战役的又一重要战场.
[快讯] 在抗击疫情当下, 却有国家级黑客组织趁火搅局. 今天, 360 安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例, 攻击者利用肺炎疫情相关题材作为诱饵文档, 对抗击疫情的医疗工作领域发动 APT 攻击. 疫情攻坚战本就不易, 国家级黑客组织的入局让这场战役越发维艰. 可以说, 疫情战早已与网络空间战紧密相连, 网络空间成疫情战役的又一重要战场.
一波未平一波又起, 2020 年这一年似乎格外的难.
在抗击疫情面前, 有人守望相助, 有人却趁火打劫. 而若这里的 "人" 上升到一个 "国家" 层面, 而这个黑客组织打劫的对象却是奋战在前线的抗疫医疗领域的话, 那无疑是给这场本就维艰的战役雪上加霜, 而这个举动更是令人愤慨至极!
肺炎疫情相关题材成诱饵文档, 这波攻击者简直丧尽天良
近日, 360 安全大脑捕获了一例利用肺炎疫情相关题材投递的 APT 攻击案例, 攻击者利用肺炎疫情相关题材作为诱饵文档, 通过邮件投递攻击, 并诱导用户执行宏, 下载后门文件并执行.
目前已知诱饵文档名如下:
对攻击者进一步追根溯源, 幕后竟是国家级 APT 组织布局
在进一步分析中, 我们不仅清楚了解到攻击者的 "路数", 更进一步揭开了此次攻击者的幕后真凶.
首先, 攻击者以邮件为投递方式, 部分相关诱饵文档示例如: 武汉旅行信息收集申请表. xlsm, 并通过相关提示诱导受害者执行宏命令.
而宏代码如下:
这里值得一提的是:
攻击者其将关键数据存在 worksheet 里, worksheet 被加密, 宏代码里面使用 key 去解密然后取数据.
然而其用于解密数据的 Key 为: nhc_gover, 而 nhc 正是中华人民共和国国家卫生健康委员会的英文缩写.
更为恐怖的是, 一旦宏命令被执行, 攻击者就能访问 hxxp://45.xxx.xxx.xx/Windows.sct, 并使用 scrobj.dll 远程执行 Sct 文件, 这是一种利用 INF Script 下载执行脚本的技术.
这里可以说的在细一些, Sct 为一段 JS 脚本.
而 JS 脚本则会再次访问下载 hxxp://45.xxx.xxx.xx/Windows.jpeg, 并将其重命名为 temp.exe, 存放于用户的启动文件夹下, 实现自启动驻留.
此次攻击所使用的后门程序与之前 360 安全大脑在南亚地区 APT 活动总结中已披露的已知的南亚组织专属后门 cnc_client 相似, 通过进一步对二进制代码进行对比分析, 其通讯格式功能等与 cnc_client 后门完全一致. 可以确定, 该攻击者为已披露的南亚组织.
为了进一步证实为南亚组织所为, 请看下面的信息:
木马与服务器通信的 URL 格式与之前发现的完全一致.
通信过程中都采用了 UUID 作为标识符, 通信的格式均为 JSON 格式.
木马能够从服务器接收的命令也和之前完全一致. 分别为远程 shell, 上传文件, 下载文件.
远程 shell
上传文件
下载文件
至此, 我们已经完全确定此次攻击的幕后真凶就是南亚 CNC APT 组织! 而它此次竟公然利用疫情对我国网络空间, 医疗领域发动 APT 攻击, 此举令人愤慨至极! 此举简直丧尽天良!
利用疫情发动猛烈攻击, 南亚组织简直无所不用极其
无独有偶, 在利用疫情对中国发动攻击上, 南亚组织简直是无所不用极其.
2 月 2 日, 南亚组织研究人员对其于 1 月 31 日发表在 bioRxiv 上的有关新型冠状病毒来源于实验室的论文进行正式撤稿. 该南亚组织的人员企图利用此次 "疫情" 制造一场生物 "阴谋论", 霍乱我国抗疫民心.
幸而我们的生物信息学家正努力用科学击败这场他国攻击我国的 "阴谋".
2 月 2 日下午 3 时左右, 中国科学院武汉病毒所研究员石正丽, 就在自己个人微信朋友圈发文如下:
然而, 事实上, 不止于此次南亚组织对我国发动猛烈攻击, 早在 2019 年末时, 智库在《年终盘点: 南亚 APT 组织 "群魔乱舞", 链条化攻击 "环环相扣"》就指出, 南亚地区 APT 组织一直活跃地发动攻击, 其中就有不少起是南亚针对我国的.
此次, 是它利用 "疫情" 再次趁火打劫, 对我国施以雪上加霜的攻击! 此举简直是丧尽天良!
中国有句古话, 人生有三不笑: 不笑天灾, 不笑人祸, 不笑疾病.
在抗疫面前, 我们所有的前线, 中线与后线的所有工作者都在不眠不休的与时间赛跑, 与病毒赛跑, 在努力打赢这场疫情防御之战.
然而, 疫情之战与网络空间之战早已紧密联系在一起, 我们永远不能忽略那些敌对势力对我们发动的任何攻击, 尤其是在这样一个特殊时刻. 敌人明里暗里的加入, 无疑给我们打赢这场战役增加了困难, 但我们相信我们一定能赢!
加油, 中国!
其他资料补充:
关于 360 高级威胁应对团队 (360 ATA Team):
专注于 APT 攻击, 0day 漏洞等高级威胁攻击的应急响应团队, 团队主要技术领域包括高级威胁沙盒, 0day 漏洞探针技术和基于大数据的高级威胁攻击追踪溯源. 在全球范围内率先发现捕获了包括双杀, 噩梦公式, 毒针等在内的数十个在野 0day 漏洞攻击, 独家披露了多个针对中国的 APT 组织的高级行动, 团队多人上榜微软 TOP100 白帽黑客榜, 树立了 360 在威胁情报, 0day 漏洞发现, 防御和处置领域的核心竞争力.
《南亚地区 APT 组织 2019 年度攻击活动总结》报告链接:,
本文为国际安全智库作品 (微信公众号: guoji-anquanzhiku)
如需转载, 请标注文章来源于: 国际安全智库
来源: https://segmentfault.com/a/1190000021692670