入侵中国长达 3 个月,越南黑客组织欲窃取新冠肺炎情报

简介: 近日,FireEye 发布了一份研究报告,报告称:为收集 COVID-19(新型冠状病毒肺炎)的相关情报,至少从 2020 年 1 月至 4 月,越南黑客组织 APT32 针对中国目标开展持续的入侵活动。

云栖号资讯:【点击查看更多行业资讯
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!

近日,FireEye 发布了一份研究报告,报告称:为收集 COVID-19(新型冠状病毒肺炎)的相关情报,至少从 2020 年 1 月至 4 月,越南黑客组织 APT32 针对中国目标开展持续的入侵活动。

据悉,黑客组织将钓鱼信息发送给中国应急管理部和武汉省政府,试图让对方“中招”,从而获取 COVID-19 的相关情报。

这次长达至少 3 个月的入侵活动,让越南黑客组织 APT32 再次进入人们的视野。

1.APT32 的真面目

2017 年,FireEye 发布博客文章,揭露了黑客组织 APT32 的相关信息。博客文章称“至少从 2014 年以来,黑客组织 APT32 专门以在越南制造业、消费品和酒店行业有既得利益的外国企业为攻击目标。并且,有迹象表明 APT32 正在瞄准周边的网络安全和技术基础设施公司。”
2015 年 5 月底,360APT 团队在技术博客文章《数字海洋的游猎者》中揭开了 APT32 的真面目。

博客文章披露:2012 年 4 月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。

该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。

鱼叉攻击:与普通的邮件钓鱼攻击不同,鱼叉攻击是一种较为高级的网络钓鱼攻击手法。它是一种借助构造特定主题和内容的邮件及带有恶意程序的附件,以吸引特定目标下载并打开附件的邮件钓鱼攻击行为。水坑(Watering Hole)攻击:攻击者首先通过侦察追踪,确定特定攻击目标经常访问或信任的网站,利用网站的弱点在其中植入攻击代码,使被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息,以达到入侵目标组织的目的。

根据 APT32 的某些攻击特点,360APT 团队将其命名为 OceanLotus,即海莲花。

据悉,海莲花发动的 APT 攻击,攻击周期长达 3 年之久,攻击地域遍布国内 29 个省级行政区和境外的 36 个国家,被黑网站多达十几个。并且,博客文章还进一步揭示:在这 3 年多的时间里,海莲花先后使用至少 4 种不同程序形态、不同编码风格和不同攻击原理的木马程序,恶意服务器遍布全球 13 个国家,注册的已知域名多达 35 个。

基于时间响应调查、产品检测和情报观察以及相关运营商的其他出版物,FireEye 评估 APT32 是与越南政府利益相一致的网络间谍组织。

2.COVID-19 期间,APT32 针对中国的持续入侵

据 FireEye 披露,在 COVID-19 发生后,APT32 针对中国的第一起入侵事件发生于 2020 年 1 月 6 日。通过利用 lijianxiang1870@163[.]com 的发件人地址和第一期办公设备招标结果报告的邮件主题,APT32 向中国应急管理部发送了带嵌入式跟踪链接的电子邮件。

如果受害者打开恶意链接,那么其电子邮件地址和代码将被发送给攻击者。如下图:

EAFD0772_7B4E_4a39_BF0F_1D58BF177965

此外,FireEye 旗下的 Mandiant 威胁情报还发现以中国武汉省政府为目标的另外的跟踪 URLs,如下所示:

  • libjs.inquirerjs[.]com/script/@wuhan.gov.cn.png
  • libjs.inquirerjs[.]com/script/@chinasafety.gov.cn.png
  • m.topiccore[.]com/script/@chinasafety.gov.cn.png
  • m.topiccore[.]com/script/@wuhan.gov.cn.png
  • libjs.inquirerjs[.]com/script/@126.com.png

据悉,libjs.inquirerjs[.]com 域名去年 12 月被当作受控域名,用来发起 METALJACK 钓鱼活动,而攻击者的潜在目标就是东南亚国家。
FireEye 表示,APT32 针对中国的目标可能使用了以 COVID-19 为主题的恶意附件。报告指出,“虽然没有发现完整的执行链,但是我们发现一个 METALJACK 加载器。它在启动有效载荷时会显示一个 COVID-19 为标题的中文诱饵文档。”

当 METALJACK 加载 krpt.dll 程序时,可能调用导出“_force_link_krpt”。加载程序会先执行一个 COVID 为主题的 RTF 文件(嵌入的资源之一),然后向受害者显示内容并将文档保存到%TEMP%。

下面是诱饵文档,其标题是“冠状病毒实时更新:中国正在追踪来自湖北的旅行者”,它向受害者展示模仿自《纽约时报》的文章。

5A849602_881A_4e70_AF75_07EFB24A0560

据了解,该恶意软件还会在额外资源 MD5(a4808a329b071a1a37b8d03b1305b0cb)中加载 shellcode,其中包含 METALJACK 有效载荷。Shellcode 通过执行系统调查收集受害者的计算机名和用户名,然后使用 libjs.inquirerjs [.] com 将这些值附加到 URL 字符串,再尝试调出 URL。如果调用成功,恶意软件就会将 METALJACK 有效载荷加载到内存中。最后,攻击者使用 vitlescaux[.]com 进行命令和控制。
不过,在 APT 的活动归因上,越南外交部发言人吴全胜在 4 月 23 日否认相关指控,表示“越南禁止一切形式的网络攻击,这类行动应当予以谴责,并严格依法处理。”

FireEye 总结道,针对中国的入侵事件和其他公开报道的攻击活动,只是全球不断增加且与 COVID-19 危机相关的网络间谍活动一部分,“处于绝望中的国家试图寻找相应的解决方案和非公开信息”。

3.COVID-19 相关的攻击增长 300 倍

自新型冠状病毒肺炎发生以来,网络攻击活动不断增加,而 APT32 入侵中国只是众多攻击活动之一。

此前,谷歌宣布每天阻止 1800 万针对 Gmail 用户的以 COVID-19 为主题的恶意电子邮件。

近日,网络安全公司 Zscaler 的研究者发现,与 2020 年初相比,3 月份 COVID-19 为主题的攻击活动增长 30000%。

C035A548_9016_48a7_AB9D_D0F4EB8CC38A

Zscaler 在博客中写道,“一月份,我们看到(和阻止)了 1200 起攻击,而三月份,我们观察到 380000 起。从一月以来,钓鱼、恶意网站和以远程用户为目标的恶意活动增长 30000%。”

具体而言,一月份,该公司观察到 1200 起攻击活动;二月份,攻击活动上升至 10000 起;三月份,则有高达 380000 起攻击活动。同时,针对远程企业用户的钓鱼活动增长 85%,恶意网站增长 25%,以企业用户为目标的威胁则增长 17%。

针对上述攻击活动, Zscaler 给出了一些建议:

  • 从官方媒体或正规渠道获取 COVID-19 的相关信息;
  • 不要打开未知来源的陌生链接或附件;
  • 确保使用双因素认证(2FA);
  • 及时给操作系统打补丁和进行安全更新;
  • 针对任何财务交易请先激活 SMS/email 通知;
  • 提防基于 email 的紧急资金请求

【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/zhibo

立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK

原文发布时间:2020-04-28
本文作者:万佳
本文来自:“InfoQ 微信公众号”,了解相关信息可以关注“InfoQ

相关文章
美军称五角大楼遭网络袭击 2.4万份敏感文件被盗
美军主管网络安全事务的国防部副部长威廉·林恩14日称,今年3月五角大楼遭受历史上最严重的一次网络袭击,计有2.4万份敏感文件被盗走。 林恩当天在位于华盛顿的美国国防大学发表演讲,正式公布美军第一份《网络空间作战战略》(非机密部分),期间他披露了3月份五角大楼遭受网络袭击的情况。
779 0
|
Dragonfly 安全
疑似俄罗斯APT黑客组织“蜻蜓”入侵美国电网
本文讲的是疑似俄罗斯APT黑客组织“蜻蜓”入侵美国电网,在黑客攻击关键基础设施的年代,电力公司网络上任何恶意软件感染事件都足以引起恐慌。但现实是,这种针对电力网络的渗透活动正在进一步加剧:近日,安全公司赛门铁克警告称,一系列新的黑客攻击活动不仅能够损害美国和欧洲的能源公司,还允许攻击者获得访问电网系统的权限,进而控制美国领土上的电力系统,致使其全面停电。
2051 0
|
安全
俄罗斯黑客Alexander Tverdokhlebov由于运营银行木马僵尸网络,被判9年监禁
本文讲的是俄罗斯黑客Alexander Tverdokhlebov由于运营银行木马僵尸网络,被判9年监禁,29岁的Alexander·Tverdokhlebov之前是俄罗斯人,现如今生活在洛杉矶并且已经成为了美国公民,但最近他却由于运营银行木马僵尸网络,从受害者银行账户窃取钱财,被判处9年徒刑。
1416 0
|
安全 数据安全/隐私保护
又一重大漏洞现身 “疯怪”危及世界互联网安全
本文讲的是又一重大漏洞现身 “疯怪”危及世界互联网安全,安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。
1234 0