快好知 kuaihz

入侵中国长达 3 个月,越南黑客组织欲窃取新冠肺炎情报

近日,FireEye 发布了一份研究报告,报告称:为收集 COVID-19(新型冠状病毒肺炎)的相关情报,至少从 2020 年 1 月至 4 月,越南黑客组织 APT32 针对中国目标开展持续的入侵活动。

据悉,黑客组织将钓鱼信息发送给中国应急管理部和武汉省政府,试图让对方“中招”,从而获取 COVID-19 的相关情报。

这次长达至少 3 个月的入侵活动,让越南黑客组织 APT32 再次进入人们的视野。

APT32 的真面目

2017 年,FireEye 发布博客文章,揭露了黑客组织 APT32 的相关信息。博客文章称“至少从 2014 年以来,黑客组织 APT32 专门以在越南制造业、消费品和酒店行业有既得利益的外国企业为攻击目标。并且,有迹象表明 APT32 正在瞄准周边的网络安全和技术基础设施公司。”

2015 年 5 月底,360APT 团队在技术博客文章《数字海洋的游猎者》中揭开了 APT32 的真面目。

博客文章披露:2012 年 4 月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击

该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。

根据 APT32 的某些攻击特点,360APT 团队将其命名为 OceanLotus,即海莲花。

据悉,海莲花发动的 APT 攻击攻击周期长达 3 年之久,攻击地域遍布国内 29 个省级行政区和境外的 36 个国家,被黑网站多达十几个。并且,博客文章还进一步揭示:在这 3 年多的时间里,海莲花先后使用至少 4 种不同程序形态、不同编码风格和不同攻击原理的木马程序,恶意服务器遍布全球 13 个国家,注册的已知域名多达 35 个。

基于时间响应调查、产品检测和情报观察以及相关运营商的其他出版物,FireEye 评估 APT32 是与越南政府利益相一致的网络间谍组织。

COVID-19 期间,APT32 针对中国的持续入侵

据 FireEye 披露,在 COVID-19 发生后,APT32 针对中国的第一起入侵事件发生于 2020 年 1 月 6 日。通过利用 lijianxiang1870@163[.]com 的发件人地址和第一期办公设备招标结果报告的邮件主题,APT32 向中国应急管理部发送了带嵌入式跟踪链接的电子邮件。

如果受害者打开恶意链接,那么其电子邮件地址和代码将被发送给攻击者。如下图:

发送给中国应急管理部的钓鱼邮件

此外,FireEye 旗下的 Mandiant 威胁情报还发现以中国武汉省政府为目标的另外的跟踪 URLs,如下所示:

libjs.inquirerjs[.]com/script/@wuhan.gov.cn.png

libjs.inquirerjs[.]com/script/@chinasafety.gov.cn.png

m.topiccore[.]com/script/@chinasafety.gov.cn.png

m.topiccore[.]com/script/@wuhan.gov.cn.png

libjs.inquirerjs[.]com/script/@126.com.png

据悉,libjs.inquirerjs[.]com 域名去年 12 月被当作受控域名,用来发起 METALJACK 钓鱼活动,而攻击者的潜在目标就是东南亚国家。

FireEye 表示,APT32 针对中国的目标可能使用了以 COVID-19 为主题的恶意附件。报告指出,“虽然没有发现完整的执行链,但是我们发现一个 METALJACK 加载器。它在启动有效载荷时会显示一个 COVID-19 为标题的中文诱饵文档。”

当 METALJACK 加载 krpt.dll 程序时,可能调用导出“_force_link_krpt”。加载程序会先执行一个 COVID 为主题的 RTF 文件(嵌入的资源之一),然后向受害者显示内容并将文档保存到%TEMP%。

下面是诱饵文档,其标题是“冠状病毒实时更新:中国正在追踪来自湖北的旅行者”,它向受害者展示模仿自《纽约时报》的文章。

据了解,该恶意软件还会在额外资源 MD5(a4808a329b071a1a37b8d03b1305b0cb)中加载 shellcode,其中包含 METALJACK 有效载荷。Shellcode 通过执行系统调查收集受害者的计算机名和用户名,然后使用 libjs.inquirerjs [.] com 将这些值附加到 URL 字符串,再尝试调出 URL。如果调用成功,恶意软件就会将 METALJACK 有效载荷加载到内存中。最后,攻击者使用 vitlescaux[.]com 进行命令和控制。

不过,在 APT 的活动归因上,越南外交部发言人吴全胜在 4 月 23 日否认相关指控,表示“越南禁止一切形式的网络攻击,这类行动应当予以谴责,并严格依法处理。”

FireEye 总结道,针对中国的入侵事件和其他公开报道的攻击活动,只是全球不断增加且与 COVID-19 危机相关的网络间谍活动一部分,“处于绝望中的国家试图寻找相应的解决方案和非公开信息”。

COVID-19 相关的攻击增长 300 倍

自新型冠状病毒肺炎发生以来,网络攻击活动不断增加,而 APT32 入侵中国只是众多攻击活动之一。

此前,谷歌宣布每天阻止 1800 万针对 Gmail 用户的以 COVID-19 为主题的恶意电子邮件。

近日,网络安全公司 Zscaler 的研究者发现,与 2020 年初相比,3 月份 COVID-19 为主题的攻击活动增长 30000%。

Zscaler 在博客中写道,“一月份,我们看到(和阻止)了 1200 起攻击,而三月份,我们观察到 380000 起。从一月以来,钓鱼、恶意网站和以远程用户为目标的恶意活动增长 30000%。”

具体而言,一月份,该公司观察到 1200 起攻击活动;二月份,攻击活动上升至 10000 起;三月份,则有高达 380000 起攻击活动。同时,针对远程企业用户的钓鱼活动增长 85%,恶意网站增长 25%,以企业用户为目标的威胁则增长 17%。

针对上述攻击活动, Zscaler 给出了一些建议:

从官方媒体或正规渠道获取 COVID-19 的相关信息;

不要打开未知来源的陌生链接或附件;

确保使用双因素认证(2FA);

及时给操作系统打补丁和进行安全更新;

针对任何财务交易请先激活 SMS/email 通知;

提防基于 email 的紧急资金请求

本站资源来自互联网,仅供学习,如有侵权,请通知删除,敬请谅解!
搜索建议:越南  越南词条  窃取  窃取词条  肺炎  肺炎词条  中国  中国词条  入侵  入侵词条  
热点

 燥热的夜,泄火全靠它!

虽然天热,但空调却不敢长开。害怕空气不循环、干燥之余,还得小心着凉感冒!体质弱的老人、小孩根本经受不起。与其说是风扇,它更像是一件行走的“艺术品”。随便摆放在哪...(展开)