Categories
程式開發

入侵中國長達3個月,越南黑客組織欲竊取COVID-19情報


入侵中國長達3個月,越南黑客組織欲竊取COVID-19情報 1

近日,FireEye發布了一份研究報告,報告稱:為收集COVID-19(新型冠狀病毒肺炎)的相關情報,至少從2020年1月至4月,越南黑客組織APT32針對中國目標開展持續的入侵活動。

據悉,黑客組織將釣魚信息發送給中國應急管理部和武漢省政府,試圖讓對方“中招”,從而獲取COVID-19的相關情報。

這次長達至少3個月的入侵活動,讓越南黑客組織APT32再次進入人們的視野。

APT32的真面目

2017年,FireEye發布博客文章,揭露了黑客組織APT32的相關信息。博客文章稱“至少從2014年以來,黑客組織APT32專門以在越南製造業、消費品和酒店行業有既得利益的外國企業為攻擊目標。並且,有跡象表明APT32正在瞄準周邊的網絡安全和技術基礎設施公司。”

2015年5月底,360APT團隊在技術博客文章《數字海洋的遊獵者》中揭開了APT32的真面目。

博客文章披露:2012年4月起至今,某境外黑客組織對中國政府、科研院所、海事機構、海域建設、航運企業等相關重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊。

該組織主要通過魚叉攻擊和水坑攻擊等方法,配合多種社會工程學手段進行滲透,向境內特定目標人群傳播特種木馬程序,秘密控制部分政府人員、外包商和行業專家的電腦系統,竊取系統中相關領域的機密資料。

魚叉攻擊:與普通的郵件釣魚攻擊不同,魚叉攻擊是一種較為高級的網絡釣魚攻擊手法。它是一種借助構造特定主題和內容的郵件及帶有惡意程序的附件,以吸引特定目標下載並打開附件的郵件釣魚攻擊行為。
水坑(Watering Hole)攻擊:攻擊者首先通過偵察追踪,確定特定攻擊目標經常訪問或信任的網站,利用網站的弱點在其中植入攻擊代碼,使被攻擊者訪問網站時終端會被植入惡意程序或者直接被盜取個人重要信息,以達到入侵目標組織的目的。

根據APT32的某些攻擊特點,360APT團隊將其命名為OceanLotus,即海蓮花。

據悉,海蓮花發動的APT攻擊,攻擊週期長達3年之久,攻擊地域遍布國內29個省級行政區和境外的36個國家,被黑網站多達十幾個。並且,博客文章還進一步揭示:在這3年多的時間裡,海蓮花先後使用至少4種不同程序形態、不同編碼風格和不同攻擊原理的木馬程序,惡意服務器遍布全球13個國家,註冊的已知域名多達35個。

基於時間響應調查、產品檢測和情報觀察以及相關運營商的其他出版物,FireEye評估APT32是與越南政府利益相一致的網絡間諜組織。

COVID-19期間,APT32針對中國的持續入侵

據FireEye披露,在COVID-19發生後,APT32針對中國的第一起入侵事件發生於2020年1月6日。通過利用[email protected][.]com的發件人地址和第一期辦公設備招標結果報告的郵件主題,APT32向中國應急管理部發送了帶嵌入式跟踪鏈接的電子郵件。

如果受害者打開惡意鏈接,那麼其電子郵件地址和代碼將被發送給攻擊者。如下圖:

入侵中國長達3個月,越南黑客組織欲竊取COVID-19情報 2

發送給中國應急管理部的釣魚郵件

此外,FireEye旗下的Mandiant威脅情報還發現以中國武漢省政府為目標的另外的跟踪URLs,如下所示:

  • libjs.inquirerjs[.]com/script/@wuhan.gov.cn.png
  • libjs.inquirerjs[.]com/script/@chinasafety.gov.cn.png
  • m.topiccore[.]com/script/@chinasafety.gov.cn.png
  • m.topiccore[.]com/script/@wuhan.gov.cn.png
  • libjs.inquirerjs[.]com/script/@126.com.png

據悉,libjs.inquirerjs[.]com域名去年12月被當作受控域名,用來發起METALJACK 釣魚活動,而攻擊者的潛在目標就是東南亞國家。

FireEye表示,APT32針對中國的目標可能使用了以COVID-19為主題的惡意附件。報告指出,“雖然沒有發現完整的執行鏈,但是我們發現一個METALJACK加載器。它在啟動有效載荷時會顯示一個COVID-19為標題的中文誘餌文檔。”

當METALJACK加載krpt.dll程序時,可能調用導出“_force_link_krpt”。加載程序會先執行一個COVID為主題的RTF文件(嵌入的資源之一),然後向受害者顯示內容並將文檔保存到%TEMP%。

下面是誘餌文檔,其標題是“冠狀病毒實時更新:中國正在追踪來自湖北的旅行者”,它向受害者展示模仿自《紐約時報》的文章。

入侵中國長達3個月,越南黑客組織欲竊取COVID-19情報 3

據了解,該惡意軟件還會在額外資源MD5(a4808a329b071a1a37b8d03b1305b0cb)中加載shellcode,其中包含METALJACK有效載荷。 Shellcode通過執行系統調查收集受害者的計算機名和用戶名,然後使用libjs.inquirerjs [.] com將這些值附加到URL字符串,再嘗試調出URL。如果調用成功,惡意軟件就會將METALJACK有效載荷加載到內存中。最後,攻擊者使用vitlescaux[.]com進行命令和控制。

不過,在APT的活動歸因上,越南外交部發言人吳全勝在4月23日否認相關指控,表示“越南禁止一切形式的網絡攻擊,這類行動應當予以譴責,並嚴格依法處理。”

FireEye總結道,針對中國的入侵事件和其他公開報導的攻擊活動,只是全球不斷增加且與COVID-19危機相關的網絡間諜活動一部分,“處於絕望中的國家試圖尋找相應的解決方案和非公開信息”。

COVID-19相關的攻擊增長300倍

自新型冠狀病毒肺炎發生以來,網絡攻擊活動不斷增加,而APT32入侵中國祇是眾多攻擊活動之一。

此前,谷歌宣布每天阻止1800萬針對Gmail用戶的以COVID-19為主題的惡意電子郵件。

近日,網絡安全公司Zscaler的研究者發現,與2020年初相比,3月份COVID-19為主題的攻擊活動增長30000%。

入侵中國長達3個月,越南黑客組織欲竊取COVID-19情報 4

Zscaler在博客中寫道,“一月份,我們看到(和阻止)了1200起攻擊,而三月份,我們觀察到380000起。從一月以來,釣魚、惡意網站和以遠程用戶為目標的惡意活動增長30000%。”

具體而言,一月份,該公司觀察到1200起攻擊活動;二月份,攻擊活動上升至10000起;三月份,則有高達380000起攻擊活動。同時,針對遠程企業用戶的釣魚活動增長85%,惡意網站增長25%,以企業用戶為目標的威脅則增長17%。

針對上述攻擊活動, Zscaler給出了一些建議:

  • 從官方媒體或正規渠道獲取COVID-19的相關信息;
  • 不要打開未知來源的陌生鏈接或附件;
  • 確保使用雙因素認證(2FA);
  • 及時給操作系統打補丁和進行安全更新;
  • 針對任何財務交易請先激活SMS/email通知;
  • 提防基於email的緊急資金請求