趁火打劫!印度APT組織對(duì)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)起定向攻擊
2 月 4 日,360 安全大腦捕獲了一例利用新冠肺炎疫情相關(guān)題材投遞的攻擊案例,攻擊者利用肺炎疫情相關(guān)題材作為誘餌文檔,對(duì)抗擊疫情的醫(yī)療工作領(lǐng)域發(fā)動(dòng) APT 攻擊。
事件回顧
360 安全大腦在發(fā)現(xiàn)遭受攻擊后,立即對(duì)這一破壞行為展開(kāi)追蹤。調(diào)查后發(fā)現(xiàn),這是一起由印度黑客組織 APT 發(fā)起的攻擊。
該攻擊組織采用魚(yú)叉式釣魚(yú)攻擊方式,通過(guò)郵件進(jìn)行投遞,利用當(dāng)前肺炎疫情等相關(guān)題材作為誘餌文檔,部分相關(guān)誘餌文檔如:武漢旅行信息收集申請(qǐng)表.xlsm,進(jìn)而通過(guò)相關(guān)提示誘導(dǎo)受害者執(zhí)行宏命令。
宏代碼如下:
攻擊者將關(guān)鍵數(shù)據(jù)存在 worksheet 里,worksheet 被加密,宏代碼里面使用 key 去解密然后取數(shù)據(jù)。然而,其用于解密數(shù)據(jù)的 Key 為:nhc_gover,而 nhc 正是國(guó)家衛(wèi)生健康委員會(huì)的英文縮寫(xiě)。
一旦宏命令被執(zhí)行,攻擊者就能訪問(wèn) hxxp://45.xxx.xxx.xx/window.sct,并使用 scrobj.dll 遠(yuǎn)程執(zhí)行 Sct 文件,這是一種利用 INF Script 下載執(zhí)行腳本的技術(shù)。
這里可以說(shuō)得再詳細(xì)一些,Sct 為一段 JS 腳本。
JS 腳本會(huì)再次訪問(wèn)下載 hxxp://45.xxx.xxx.xx/window.jpeg,并將其重命名為 temp.exe,存放于用戶的啟動(dòng)文件夾下,實(shí)現(xiàn)自啟動(dòng)駐留。
值得一提的是,此次攻擊所使用的后門(mén)程序與之前 360 安全大腦在南亞地區(qū) APT 活動(dòng)總結(jié)中已披露的已知印度組織專屬后門(mén) cnc_client 相似,通過(guò)進(jìn)一步對(duì)二進(jìn)制代碼進(jìn)行對(duì)比分析,其通訊格式功能等與 cnc_client 后門(mén)完全一致。后經(jīng)確定,攻擊者是來(lái)源于印度的 APT 組織。
印度 APT 組織是誰(shuí)?
早在 2018 年,美國(guó)安全事件處理公司 Volexity 就指出,其安全團(tuán)隊(duì)在同年 3 月和 4 月發(fā)現(xiàn)了多起魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng),而這些活動(dòng)都被認(rèn)為是由印度 APT 黑客組織“Patchwork”發(fā)起的,該組織通常也被稱為“Dropping Elephant”。
像 Patchwork 這類 APT 黑客組織,除了發(fā)送用于傳播惡意軟件的誘餌文檔之外,還會(huì)利用其電子郵件中的獨(dú)特跟蹤鏈接,以識(shí)別都有哪些收件人打開(kāi)了電子郵件。南亞地區(qū)的 APT 攻擊組織也相對(duì)較多,較有代表性的包括 SideWinder(響尾蛇)、BITTER(蔓靈花)、白象、Donot 等。
趁火打劫,意欲何為?
針對(duì)本次印度 APT 組織此時(shí)對(duì)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)動(dòng)定向攻擊的原因,360 安全團(tuán)隊(duì)在官方微信公眾號(hào)進(jìn)行了部分猜測(cè),如下:
第一,為獲取最新、最前沿的醫(yī)療新技術(shù)。這與該印度 APT 組織的攻擊重點(diǎn)一直在科研教育領(lǐng)域有著莫大關(guān)系;
第二,為進(jìn)一步截取醫(yī)療設(shè)備數(shù)據(jù)。為打贏這場(chǎng)異常艱難的疫情之戰(zhàn),我國(guó)投入了重大的人力、物力、財(cái)力資源,尤其是醫(yī)療設(shè)備上。所以,該組織此次發(fā)動(dòng)攻擊,能進(jìn)一步截取更多醫(yī)療設(shè)備數(shù)據(jù)信息;
第三,擾亂國(guó)家穩(wěn)定、制造恐慌。疫情面前,不僅是一場(chǎng)與生物病毒的戰(zhàn)役,更是一場(chǎng)民心之戰(zhàn),只有民心定了,才能保證社會(huì)穩(wěn)定。而該組織在此時(shí)發(fā)動(dòng)攻擊,無(wú)疑給疫情制造了更多恐慌。
結(jié)束語(yǔ)
網(wǎng)絡(luò)安全與信息安全一直是需要重點(diǎn)關(guān)注的事情。過(guò)去幾年,安全相關(guān)事件頻頻登上頭條新聞,從醫(yī)療信息、賬戶憑證、企業(yè)電子郵件到企業(yè)內(nèi)部敏感數(shù)據(jù)。為避免此類事件發(fā)生,企業(yè)或個(gè)人首先需要提高安全意識(shí),其次采取恰當(dāng)?shù)陌踩侄芜M(jìn)行防范。疫情當(dāng)前,我們尤為不要放松警惕,特別是與醫(yī)療相關(guān)的關(guān)鍵領(lǐng)域。
