網(wǎng)安企業(yè):近兩年印度黑客網(wǎng)絡攻擊大幅增加,疫情初曾偽造體檢表格攻擊中國醫(yī)療行業(yè)
【環(huán)球時報-環(huán)球網(wǎng)報道記者 劉彩玉】記者從360政企安全集團獨家獲悉,近兩年來以印度為主要代表的南亞地區(qū)的APT組織(定向威脅攻擊組織)一直處于十分活躍的狀態(tài),尤其2021年上半年相關網(wǎng)絡攻擊較去年有大幅增加,其攻擊目標不僅涉及教育、政府、航天航空和國防軍工多個領域,更是通過緊密圍繞政治、經(jīng)濟等熱點領域及事件瞄準涉及相關時事熱點的重點機構或個人。專家推斷,精準的網(wǎng)絡攻擊背后有專門針對目標國家相關領域時事新聞的情報分析。
回顧2020年,360監(jiān)控并捕獲到的初始攻擊載荷共有上百個,以印度為主要代表的南亞地區(qū)的APT組織的主要攻擊手段是通過魚叉郵件來誘導用戶執(zhí)行各種類的惡意載荷,其涉及的題材豐富多樣。2021年年初至今,以印度為主要代表的南亞地區(qū)APT組織仍然非;钴S,主要針對我國和其他南亞地區(qū)國家,圍繞地緣政治相關的目標,涉及教育、政府、航天航空和國防軍工多個領域的目標進行攻擊。
360政企安全集團安全專家告訴《環(huán)球時報》記者,來自以印度為主要代表的南亞地區(qū)的網(wǎng)絡攻擊活躍趨勢,從2020下半年開始一直持續(xù)至目前,且一直呈大幅上升趨勢,尤其2021年上半年的攻擊活動中,針對時事熱點的跟進頻次和細分粒度已明顯超過去年同期。來自印度等南亞國家的網(wǎng)絡攻擊涉及題材豐富多樣,緊跟時事熱點,且目標針對性極強,360安全專家推斷其背后有專門針對目標國家相關領域時事新聞的情報分析,同時以此來指導其進行網(wǎng)絡攻擊活動,“時事熱點的范疇除政治、經(jīng)濟領域外,還包括疫情態(tài)勢、某行業(yè)專項活動等,這些都會被APT攻擊所關注!
例如,在2020年疫情初期,一個名為“APT-C-48( CNC)”的組織借新冠肺炎疫情在我國暴發(fā),通過偽造體檢表格等文檔對我國醫(yī)療等行業(yè)發(fā)起攻擊;360捕獲到相應攻擊并第一時間預警客戶,并率先公開披露提醒各重點單位部門提防相關攻擊。各大單位平臺也發(fā)布相關預警通告。隨后CNC小組在2020年也未有較大的活動,但是在2021年4月,360捕獲到CNC組織針對我國重點單位發(fā)起了新一輪的攻擊;2021年6月中旬,CNC組織在我國航天時事熱點前后,針對我國航空航天領域相關的重點單位突然發(fā)起集中攻擊。
2020年6月,一個名為“響尾蛇”的組織瞄準中國某大學生招生辦進行攻擊,該時間點正逢某大學自強計劃公布初評結果,“響尾蛇”結合疫情,使用《疫情防控期間優(yōu)秀教師推薦表》等相關文檔針對某大學多位招生辦老師進行攻擊;2020年11月,“蔓靈花”對中國中藥科研機構進行攻擊。2021年8月,“APT-C-09(摩訶草)”組織借助美女圖片作為誘餌制作惡意程序,通過婚介主題來誘騙目標執(zhí)行惡意程序,針對南亞地區(qū)周邊國家目標進行攻擊活動;2021年10月, CNC組織利用惡意pub文件(廣泛應用于廣告,書本,證件各類出版物的一類電子文檔),對我國多所科研機構進行攻擊。
專家表示,從技術方面講,以印度為代表的南亞地區(qū)網(wǎng)絡攻擊組織具有明顯的特征,其主要利用釣魚郵件,且擅長使用社會工程學手段。比如“蔓靈花(APT-C-08)”組織更多是仿冒目標單位的郵箱系統(tǒng)進行釣魚網(wǎng)站攻擊,攻擊占比達到7成。
同時“蔓靈花”組織也在謀求一種新型供應鏈攻擊,這類攻擊目標并不是供應商和最終目標需求方,而是針對中間服務商目標,如招標代理機構。在鎖定攻擊目標后,“蔓靈花”組織進一步會采用0day漏洞進行滲透攻擊。今年上半年“蔓靈花”組織就使用WINDOWS內(nèi)核提權0day漏洞(CVE-2021-1732)進行了攻擊活動。
另外,在廣泛使用的仿冒目標郵箱系統(tǒng)的釣魚攻擊中,“蔓靈花”組織除了克隆目標的郵件系統(tǒng)以外,還會使用某類重要文檔文件的預覽內(nèi)容制作釣魚網(wǎng)頁,誘騙用戶登陸下載文檔以盜取用戶的賬戶密碼。
而“CNC(APT-C-48)”組織則習慣改造使用開源木馬程序和GITHUB等云服務作為命令控制,在木馬對受害目標整個遠程控制的過程中,都是通過匿名的github賬戶對受害目標發(fā)起木馬下載、用戶信息竊取等攻擊指令。
360安全專家表示,在實際監(jiān)測中也發(fā)現(xiàn)了數(shù)量眾多的受害者,這說明部分單位的網(wǎng)絡安全防范措施和意識仍有很大的提升空間,部分短板依舊可以導致安全問題。