拙劣至極！南亞APT組織借新冠疫情對我國醫療機構發起定向攻擊！

時間 2020-02-07

原文原文鏈接

疫情亦網情，新冠病毒以後網絡空間成疫情戰役的又一重要戰場。php

【快訊】在抗擊疫情當下，卻有國家級黑客組織趁火攪局。今天，360安全大腦捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例，攻擊者利用肺炎疫情相關題材做爲誘餌文檔，對抗擊疫情的醫療工做領域發動APT攻擊。疫情攻堅戰本就不易，國家級黑客組織的入局讓這場戰役愈加維艱。能夠說，疫情戰早已與網絡空間戰緊密相連，網絡空間成疫情戰役的又一重要戰場。shell

一波未平一波又起，2020年這一年彷佛格外的難。json

在抗擊疫情面前，有人守望相助，有人卻攻其不備。而若這裏的「人」上升到一個「國家」層面，而這個黑客組織打劫的對象倒是奮戰在前線的抗疫醫療領域的話，那無疑是給這場本就維艱的戰役雪上加霜，而這個舉動更是使人憤慨至極!安全

肺炎疫情相關題材成誘餌文檔，這波攻擊者簡直喪盡天良

近日，360安全大腦捕獲了一例利用肺炎疫情相關題材投遞的APT攻擊案例，攻擊者利用肺炎疫情相關題材做爲誘餌文檔，經過郵件投遞攻擊，並誘導用戶執行宏，下載後門文件並執行。服務器

目前已知誘餌文檔名以下：
微信

對攻擊者進一步追根溯源，幕後竟是國家級APT組織布局

在進一步分析中，咱們不只清楚瞭解到攻擊者的「路數」，更進一步揭開了這次攻擊者的幕後真兇。網絡

首先，攻擊者以郵件爲投遞方式，部分相關誘餌文檔示例如：武漢旅行信息收集申請表.xlsm，並經過相關提示誘導受害者執行宏命令。

而宏代碼以下：

這裏值得一提的是：佈局

攻擊者其將關鍵數據存在worksheet裏，worksheet被加密，宏代碼裏面使用key去解密而後取數據。大數據

然而其用於解密數據的Key爲：nhc_gover，而nhc正是中華人民共和國國家衛生健康委員會的英文縮寫。加密

更爲恐怖的是，一旦宏命令被執行，攻擊者就能訪問hxxp://45.xxx.xxx.xx/window.sct，並使用scrobj.dll遠程執行Sct文件，這是一種利用INF Script下載執行腳本的技術。

這裏能夠說的在細一些，Sct爲一段JS腳本。

而JS腳本則會再次訪問下載hxxp://45.xxx.xxx.xx/window.jpeg，並將其重命名爲temp.exe，存放於用戶的啓動文件夾下，實現自啓動駐留。

這次攻擊所使用的後門程序與以前360安全大腦在南亞地區APT活動總結中已披露的已知的南亞組織專屬後門cnc_client類似，經過進一步對二進制代碼進行對比分析，其通信格式功能等與cnc_client後門徹底一致。能夠肯定，該攻擊者爲已披露的南亞組織。

爲了進一步證明爲南亞組織所爲，請看下面的信息：

木馬與服務器通訊的URL格式與以前發現的徹底一致。

通訊過程當中都採用了UUID做爲標識符，通訊的格式均爲json格式。

木馬可以從服務器接收的命令也和以前徹底一致。分別爲遠程shell，上傳文件，下載文件。

遠程shell

上傳文件

下載文件

至此，咱們已經徹底肯定這次攻擊的幕後真兇就是南亞CNC APT組織！而它這次竟公然利用疫情對我國網絡空間、醫療領域發動APT攻擊，此舉使人憤慨至極！此舉簡直喪盡天良！

利用疫情發動猛烈攻擊，南亞組織簡直無所不用極其

無獨有偶，在利用疫情對中國發動攻擊上，南亞組織簡直是無所不用極其。

2月2日，南亞組織研究人員對其於1月31日發表在bioRxiv上的有關新型冠狀病毒來源於實驗室的論文進行正式撤稿。該南亞組織的人員企圖利用這次「疫情」製造一場生物「陰謀論」，霍亂我國抗疫民心。

幸而咱們的生物信息學家正努力用科學擊敗這場他國攻擊我國的「陰謀」。

2月2日下午3時左右，中國科學院武漢病毒所研究員石正麗，就在本身我的微信朋友圈發文以下：

然而，事實上，不止於這次南亞組織對我國發動猛烈攻擊，早在2019年底時，智庫在《年終盤點：南亞APT組織「羣魔亂舞」，鏈條化攻擊「環環相扣」》就指出，南亞地區APT組織一直活躍地發動攻擊，其中就有很多起是南亞針對我國的。

這次，是它利用「疫情」再次攻其不備，對我國施以雪上加霜的攻擊！此舉簡直是喪盡天良！

中國有句古話，人生有三不笑：不笑天災，不笑人禍，不笑疾病。

在抗疫面前，咱們全部的前線、中線與後線的全部工做者都在不眠不休的與時間賽跑，與病毒賽跑，在努力打贏這場疫情防護之戰。

然而，疫情之戰與網絡空間之戰早已緊密聯繫在一塊兒，咱們永遠不能忽略那些敵對勢力對咱們發動的任何攻擊，尤爲是在這樣一個特殊時刻。敵人明裏暗裏的加入，無疑給咱們打贏這場戰役增長了困難，但咱們相信咱們必定能贏！

加油，中國！

其餘資料補充：

關於360高級威脅應對團隊(360 ATA Team)：

專一於APT攻擊、0day漏洞等高級威脅攻擊的應急響應團隊，團隊主要技術領域包括高級威脅沙盒、0day漏洞探針技術和基於大數據的高級威脅攻擊追蹤溯源。在全球範圍內率先發現捕獲了包括雙殺、噩夢公式、毒針等在內的數十個在野0day漏洞攻擊，獨家披露了多個針對中國的APT組織的高級行動，團隊多人上榜微軟TOP100白帽黑客榜，樹立了360在威脅情報、0day漏洞發現、防護和處置領域的核心競爭力。

《南亞地區APT組織2019年度攻擊活動總結》報告連接：、
http://zt.360.cn/1101061855.p...

本文爲國際安全智庫做品（微信公衆號：guoji-anquanzhiku）
如需轉載，請標註文章來源於：國際安全智庫