一定牛彩票

疫情亦網情,新冠病毒之後網絡空(kong)間成疫情戰jie)鄣撓you)一重要(yao)戰場。

? ?【快訊】在抗(kang)gou)饕 櫚畢攏 從泄jia)級黑客組織趁火攪局。今天,360安全大腦(nao)捕獲了一例(li)利用新冠肺(fei)炎疫情相關題材投(tou)遞的攻擊(ji)案例(li),攻擊(ji)者利用肺(fei)炎疫情相關題材作(zuo)為誘餌(er)文檔,對抗(kang)gou)饕 櫚囊攪liao)工(gong)作(zuo)領(ling)域發動APT攻擊(ji)。疫情攻堅(jian)戰本就不易,國家(jia)級黑客組織的入局讓這(zhe)場戰jie)墼椒(jiao)? 琛/span>可以說,疫情戰早已與網絡空(kong)間戰緊密(mi)相連,網絡空(kong)間成疫情戰jie)鄣撓you)一重要(yao)戰場。

一波未平jie)徊ㄓyou)起,2020年這(zhe)一年似乎(hu)格外的難(nan)。

? ?在抗(kang)gou)饕 槊媲qian),有人守(shou)望相助,有人卻趁火打劫(jie)。而若這(zhe)里的“人”上(shang)升到jie)桓ge)“國家(jia)”層面,而這(zhe)個(ge)黑客組織打劫(jie)的對象卻是奮(fen)戰在前(qian)線(xian)的抗(kang)疫醫療(liao)領(ling)域的話,那無疑是給這(zhe)場本就維艱的戰jie)堊┤shang)加霜,而這(zhe)個(ge)舉動更是令人憤慨至liang)
近日,360安全大腦(nao)捕獲了一例(li)利用肺(fei)炎疫情相關題材投(tou)遞的APT攻擊(ji)案例(li),攻擊(ji)者利用肺(fei)炎疫情相關題材作(zuo)為誘餌(er)文檔,通過郵件投(tou)遞攻擊(ji),並誘導用戶(hu)執行宏,下載後門文件並執行。

在進一步jiao)治鮒校 頤遣喚鑾qing)楚了si)獾焦?ji)者的“路數”,更進一步揭(jie)開了此(ci)次攻擊(ji)者的幕後真凶(xiong)。

? ?首先(xian),攻擊(ji)者以郵件為投(tou)遞方式,部(bu)分相關誘餌(er)文檔示(shi)例(li)如(ru)︰武漢(han)旅行信息(xi)收(shou)集申請表.xlsm,並通過相關提示(shi)誘導受害者執行宏命(ming)令。

而宏代碼如(ru)下︰

這(zhe)里值(zhi)得(de)一提的是︰

? ?攻擊(ji)者其(qi)將關鍵數據存在worksheet里,worksheet被加密(mi),宏代碼里面使用key去(qu)解(jie)密(mi)然後取數據。然而其(qi)用于解(jie)密(mi)數據的Key為︰nhc_gover,而nhc正是中華人民共和國國家(jia)衛生健康委員會的英文縮寫。
更為恐怖的是,一旦宏命(ming)令被執行,攻擊(ji)者就能訪(fang)meng)xxp://45.xxx.xxx.xx/window.sct,並使用scrobj.dll遠(yuan)程(cheng)執行Sct文件,這(zhe)是一種利用INF Script下載執行腳本的技術。這(zhe)里可以說的nao)諳敢恍 ct為一段JS腳本。

而JS腳本則會再次訪(fang)meng)氏略xxp://45.xxx.xxx.xx/window.jpeg,並將其(qi)重命(ming)名為temp.exe,存放于用戶(hu)的啟動文件夾下,實現自啟動駐留(liu)。

此(ci)次攻擊(ji)所使用的後門程(cheng)序與之前(qian)360安全大腦(nao)在南亞地區APT活動總結中已披露的已知(zhi)的南亞組織專屬後門cnc_client相似,通過進一步對yuan)er)進制代碼進行對比que)治觶 qi)通訊格式功能等與cnc_client後門完(wan)全一致(zhi)。可以確(que)定,該攻擊(ji)者為已披露的南亞組織。

為了si)徊街zheng)實為南亞組織所為,請看下面的信息(xi)︰

木馬(ma)與服務器通信的URL格式與之前(qian)發現zhi)耐wan)全一致(zhi)。

通信過程(cheng)中都ji)捎昧UID作(zuo)為標識符,通信的格式均為json格式。

? ?木馬(ma)能夠(gou)從服務器接收(shou)的命(ming)令也和之前(qian)完(wan)全一致(zhi)。分zhi)bie)為遠(yuan)程(cheng)shell,上(shang)傳(chuan)文件,下載文件。

遠(yuan)程(cheng)shell

上(shang)傳(chuan)文件

?

下載文件

? ?至此(ci),我們已經(jing)完(wan)全確(que)定此(ci)次攻擊(ji)的幕後真凶(xiong)就是南亞CNC APT組織!而它此(ci)次竟公然利用疫情對我國網絡空(kong)間、醫療(liao)領(ling)域發動APT攻擊(ji),此(ci)舉令人憤慨至liang) 〈ci)舉簡直(zhi)喪盡天良(liang)!

無獨有偶,在利用疫情對中國發動攻擊(ji)上(shang),南亞組織簡直(zhi)是無所不用極其(qi)。

2月(yue)2日,南亞組織研究人員對其(qi)于1月(yue)31日發表在bioRxiv上(shang)的有關新型冠狀(zhuang)病毒來(lai)源于實驗室的論文進行正式撤稿。該南亞組織的人員企圖利用此(ci)次“疫情”制造一場生物“陰(yin)謀論”,霍亂我國抗(kang)疫民心。

幸而我們的生物信息(xi)學家(jia)正努力用科學擊(ji)敗(bai)這(zhe)場他(ta)國攻擊(ji)我國的“陰(yin)謀”。

2月(yue)2日下午3時左右(you),中國科學院武漢(han)病毒所研究員石(shi)正麗(li),就在自己(ji)個(ge)人微信朋(peng)友圈發文如(ru)下︰

? ?然而,事實上(shang),不止于此(ci)次南亞組織對我國發動猛(meng)烈攻擊(ji),早在2019年末(mo)時,智庫在《年終盤點︰南亞APT組織“群(qun)魔亂舞”,鏈條化攻擊(ji)“環環相扣”》就指出(chu),南亞地區APT組織一直(zhi)活躍(yue)地發動攻擊(ji),其(qi)中就有xie)簧倨鶚悄涎欽?暈夜摹/span>

? ?此(ci)次,是它利用“疫情”再次趁火打劫(jie),對我國施以雪上(shang)加霜的攻擊(ji)!此(ci)舉簡直(zhi)是喪盡天良(liang)!

中國有句古話,人生有三(san)不笑︰不笑天災,不笑人禍(huo),不笑疾(ji)病。

在抗(kang)疫面前(qian),我們所有的前(qian)線(xian)、中線(xian)與後線(xian)的所有工(gong)作(zuo)者都在不眠不休的與時間賽跑,與病毒賽跑,在努力打贏這(zhe)場疫情防御之戰。

然而,疫情之戰與網絡空(kong)間之戰早已緊密(mi)聯系在一起,我們永遠(yuan)不能忽略那些敵(di)對勢力對我們發動的任何攻擊(ji),尤其(qi)是在這(zhe)樣一個(ge)特殊時刻。敵(di)人明里暗dao) 募尤耄 摶篩頤譴蠐 zhe)場戰jie)墼zeng)加了困難(nan),但我們相信我們一定能贏!

加油,中國!

其(qi)他(ta)資料補充︰

關于360高級威(wei)脅(xie)應(ying)對團隊(dui)(360 ATA Team)︰
專注于APT攻擊(ji)、0day漏洞等高級威(wei)脅(xie)攻擊(ji)的應(ying)急響應(ying)團隊(dui),團隊(dui)you)饕yao)技術領(ling)域包括高級威(wei)脅(xie)沙盒、0day漏洞探針技術和基于大數據的高級威(wei)脅(xie)攻擊(ji)追蹤溯源。在全球範圍內率先(xian)que) 植痘窳稅ㄋ sha)、噩夢(meng)公式、毒針等在內的數十個(ge)在野0day漏洞攻擊(ji),獨家(jia)披露了多個(ge)針對中國的APT組織的高級行動,團隊(dui)多人上(shang)榜微軟(ruan)TOP100白帽(mao)黑客榜,樹(shu)立(li)了360在威(wei)脅(xie)情報、0day漏洞發現、防御和處(chu)置領(ling)域的核心競爭(zheng)力。

《南亞地區APT組織2019年度攻擊(ji)活動總結》

報告鏈接︰http://zt.360.cn/1101061855.php?dtid=1101062514&did=610401913,請點擊(ji)閱讀原文獲取詳細報告。

關注“國際安全智庫”公共號

了si)飧喙諭饌緲kong)間安全資訊





360安全衛士

一定牛彩票

用戶(hu)
反饋
返回
頂(ding)部(bu)
一定牛彩票 | 下一页