广西快3

疫情亦(yi)網(wang)情,新冠病毒之後網(wang)絡空間成疫情戰jie)鄣撓忠恢匾 匠chang)。

? ?【快訊(xun)】在抗gou)饕 櫚畢攏 que)有國家(jia)級黑客組織趁火攪局。今天,360安全大腦捕獲了一例利用新冠肺炎疫情相關(guan)題材投遞的攻擊案例,攻擊者利用肺炎疫情相關(guan)題材作為(wei)誘餌文檔,對抗gou)饕 櫚囊攪乒?髁 蚍 dong)APT攻擊。疫情攻堅戰本就(jiu)不易,國家(jia)級黑客組織的入局讓這場(chang)戰jie)墼椒? 琛/span>可以yun)擔  檎皆zao)已與網(wang)絡空間戰緊密相連,網(wang)絡空間成疫情戰jie)鄣撓忠恢匾 匠chang)。

一波未平jie)徊ㄓ制qi),2020年(nian)這一年(nian)似乎格外的難。

? ?在抗gou)饕 槊媲qian),有人守望相助,有人卻(que)趁火打劫。而若(ruo)這里的“人”上升到jie)桓觥骯jia)”層(ceng)面,而這個黑客組織打劫的對象(xiang)卻(que)是(shi)奮戰在前(qian)線的抗疫醫療領域的mu)埃/span>那無疑是(shi)給這場(chang)本就(jiu)維艱的戰jie)堊┤霞jia)霜,而這個舉動(dong)更是(shi)令人憤(fen)慨至(zhi)極!
近(jin)日(ri),360安全大腦捕獲了一例利用肺炎疫情相關(guan)題材投遞的APT攻擊案例,攻擊者利用肺炎疫情相關(guan)題材作為(wei)誘餌文檔,通過郵件投遞攻擊,並誘導jia)沒?蔥瀉輳 略睪竺men)文件並執行xiao)/span>

在進一步(bu)分(fen)析中,我們不僅清楚了si)獾焦?髡叩摹奧肥保(bao) 徊bu)揭(jie)開了此次攻擊者的幕(mu)後真凶(xiong)。

? ?首先(xian),攻擊者以郵件為(wei)投遞方式(shi),部分(fen)相關(guan)誘餌文檔示例如︰he)wu)漢旅行信息收集申請表.xlsm,並通過相關(guan)提示誘導ji)shou)害者執行宏命(ming)令。

而宏代碼(ma)如下︰

這里值得(de)一提的是(shi)︰

? ?攻擊者其將(jiang)關(guan)鍵數據(ju)存在worksheet里,worksheet被加(jia)密,宏代碼(ma)里面使用key去解密然huan)筧 ju)。然而其用于解密數據(ju)的Key為(wei)︰nhc_gover,而nhc正(zheng)是(shi)中華人民共和國國家(jia)衛生健康di) yuan)會的英(ying)文縮寫(xie)。
更為(wei)恐怖的是(shi),一旦宏命(ming)令被執行,攻擊者就(jiu)能訪問(wen)hxxp://45.xxx.xxx.xx/window.sct,並使用scrobj.dll遠程執行Sct文件,這是(shi)一種利用INF Script下載執行腳(jiao)本的技ji)酢/span>這里可以yun)檔腦諳敢恍 ct為(wei)一段JS腳(jiao)本。

而JS腳(jiao)本則會再次訪問(wen)下載hxxp://45.xxx.xxx.xx/window.jpeg,並將(jiang)其重命(ming)名(ming)為(wei)temp.exe,存放(fang)于用戶的啟動(dong)文件夾下,實現自啟動(dong)駐留。

此次攻擊所使用的後門(men)程序與之前(qian)360安全大腦在南亞地區APT活動(dong)總結中已披(pi)露的已知的南亞組織專屬後門(men)cnc_client相似,通過進一步(bu)對二進制代碼(ma)進行對yuan)確fen)析,其通訊(xun)格式(shi)功能等(deng)與cnc_client後門(men)完全一致。可以確定,該攻擊者為(wei)已披(pi)露的南亞組織。

為(wei)了si)徊bu)證(zheng)實di)wei)南亞組織所為(wei),請看下面的信息︰

木馬與服(fu)務器通信的URL格式(shi)與之前(qian)發現的完全一致。

通信過程中都采用了UUID作為(wei)標識符,通信的格式(shi)均為(wei)json格式(shi)。

? ?木馬能夠(gou)從服(fu)務器接收的命(ming)令也和之前(qian)完全一致。分(fen)別為(wei)遠程shell,上傳文件,下載文件。

遠程shell

上傳文件

?

下載文件

? ?至(zhi)此,我們已經完全確定此次攻擊的幕(mu)後真凶(xiong)zhuo)褪shi)南亞CNC APT組織!而它此次竟公然利用疫情對我國網(wang)絡空間、醫療領域發動(dong)APT攻擊,此舉令人憤(fen)慨至(zhi)極!此舉簡直喪盡天良!

無獨有偶(ou),在利用疫情對中國發動(dong)攻擊上,南亞組織簡直是(shi)無所不用極其。

2月(yue)2日(ri),南亞組織研究人員(yuan)對其于1月(yue)31日(ri)發表在bioRxiv上的有關(guan)新型(xing)冠狀病毒來源于實驗室的論文進行正(zheng)式(shi)撤稿。該南亞組織的人員(yuan)企(qi)圖利用此次“疫情”制造一場(chang)生物“陰謀論”bao) 袈椅夜掛咼襉摹/span>

幸而我們的生物信息學家(jia)正(zheng)努力(li)用科學擊敗這場(chang)他國攻擊我國的“陰謀”。

2月(yue)2日(ri)下午3時(shi)左(zuo)右,中國科學院he)wu)漢病毒所研究員(yuan)石(shi)正(zheng)麗,就(jiu)在自己個人微信朋友圈發文如下︰

? ?然而,事實上,不止于此次南亞組織對我國發動(dong)猛烈攻擊,早(zao)在2019年(nian)末時(shi)bao) 強庠/span>《年(nian)終(zhong)盤(pan)點(dian)︰南亞APT組織“群魔亂舞”bao) 刺躉 ?鰲盎坊廢囁邸薄/a>就(jiu)指出,南亞地區APT組織一直活躍地發動(dong)攻擊,其中就(jiu)有不少起(qi)是(shi)南亞針對我國的。

? ?此次,是(shi)它利用“疫情”再次趁火打劫,對我國施以雪上加(jia)霜的攻擊!此舉簡直是(shi)喪盡天良!

中國有句古話,人生有三(san)不笑︰不笑天災,不笑人禍,不笑疾病。

在抗疫面前(qian),我們所有xie)那qian)線、中線與後線的所有工作者都在不眠(mian)不休(xiu)的與時(shi)間賽(sai)跑(pao),與病毒賽(sai)跑(pao),在努力(li)打贏(ying)這場(chang)疫情防御之戰。

然而,疫情之戰與網(wang)絡空間之戰早(zao)已緊密聯系在一起(qi),我們永遠不能忽(hu)略那些敵對勢力(li)對我們發動(dong)的任何(he)攻擊,尤其是(shi)在這樣一個特殊時(shi)刻。敵人明里暗里的加(jia)入,無疑給我們打贏(ying)這場(chang)戰jie)墼黽jia)了困難,但我們相信我們一定能贏(ying)!

加(jia)油(you),中國!

其他資料補(bu)充︰

關(guan)于360高級威(wei)脅應對團隊(360 ATA Team)︰
專注于APT攻擊、0day漏洞等(deng)高級威(wei)脅bu)?韉撓 ji)響應團隊,團隊主要技ji)趿 虯kuo)高級威(wei)脅沙盒xiao)day漏洞探(tan)針技ji)鹺突詿笫ju)的高級威(wei)脅bu)?髯zhui)蹤溯源。在全球(qiu)範圍(wei)內率先(xian)發現捕獲了包括(kuo)雙殺(sha)、噩夢公式(shi)、毒針等(deng)在內的數十個在野0day漏洞攻擊,獨家(jia)披(pi)露了多個針對中國的APT組織的高級行動(dong),團隊多人上榜微軟TOP100白(bai)帽(mao)黑客榜,樹立了360在威(wei)脅情報、0day漏洞發現、防御和處(chu)置(zhi)領域的核(he)心競(jing)爭(zheng)力(li)。

《南亞地區APT組織2019年(nian)度攻擊活動(dong)總結》

報告鏈接︰http://zt.360.cn/1101061855.php?dtid=1101062514&did=610401913,請點(dian)擊閱讀原文獲取詳細報告。

關(guan)注“國際(ji)安全智庫”公共號

了si)飧喙諭饌wang)絡空間安全資訊(xun)





360安全衛士

广西快3

用戶
反饋
返回
頂(ding)部
广西快3 | 下一页