疫情也影响了互联网。
继新冠病毒之后,网络空间成为抗击疫情的又一重要战场。
在举国上下齐心抗击疫情的同时,安全大脑近日捕获了一起利用新型冠状病毒疫情相关主题传递文件的攻击案例。
攻击者以肺炎疫情相关主题为诱饵文件,对抗击疫情的医疗领域发起APT攻击。
经过进一步追踪,我们发现该APT组织属于印度黑客组织。
在当前抗击疫情的困难形势下,印度APT组织公然针对我国医疗机构发起攻击!趁势搅局、乘势而上,这一举动不仅极其离谱,简直就是不择手段!我们非常愤怒地揭露了有关这次袭击的更多爆炸性细节!首先:是谁在趁势攻击我国?在揭开幕后真凶之谜之前,我们先来简单了解一下攻击者的攻击“手段”。
该攻击组织使用鱼叉式网络钓鱼攻击并通过电子邮件进行传递。
极其可恶的是,它公然以当前肺炎疫情等相关题材作为诱饵文件。
一些相关诱饵文件如:武汉出行信息采集申请表.xlsm,然后通过相关提示诱导受害者执行宏命令。
简单来说,攻击者将关键数据存储在工作表中,工作表被加密,宏代码使用密钥解密并检索数据。
但解密数据所用的Key是:nhc_gover,nhc是中华民国国家卫生健康委员会的缩写。
一旦这里执行宏命令,攻击者就可以访问hxxp://45.xxx.xxx.xx/window.sct并利用scrobj.dll远程执行Sct文件。
这是一种利用INF Script来下载并执行脚本的技术。
。
(关于这次攻击的更多细节,这里不再赘述,有兴趣的朋友可以点击这篇文章链接《拙劣至极!南亚 APT 组织借新冠疫情对我国医疗机构发起定向攻击!》进一步阅读。
)不过,这里我们要强调的是这次攻击所使用的后门程序。
与安全大脑此前在南亚APT活动总结中披露的已知印度组织特有后门cnc_client类似,通过进一步对二进制代码进行对比分析,其通信格式和功能与cnc_client后门完全一致。
可以确定攻击者源自印度APT组织!值得注意的是,印度APT组织的攻击目标主要是:中国、巴基斯坦等亚洲国家进行网络间谍活动,主要窃取敏感信息。
而且,在对中国的攻击中,他们主要针对的是政府机构和科研教育领域,尤其是科研教育领域。
第二:谁应该更加警惕,避免受到迫害?当清楚谁在攻击我们时,另一个重要问题出现了,谁是这次攻击的受害者?不言而喻,当攻击者精心利用与COVID-19疫情相关的主题作为诱饵文件进行鱼叉攻击时,医疗机构和医疗工作领域无疑将成为本次攻击的最大受害者。
国家级APT组织别有用心的干扰,让这场本已艰难的抗疫斗争变得更加艰难。
其“攻击图”一旦得逞,轻则造成数据丢失、计算机故障,重则影响各地疫情防控工作有序推进,危及个人乃至企业、政府的网络安全和其他机构。
尤其是面对有国家背景的APT组织的攻击,后果简直不堪设想。
最后:或许攻击者的针对性攻击目的值得深思?中国有句古话,人生三不笑:不笑天灾,不笑人祸,不笑疾病。
面对重大灾害疫情,国家、企业、个人都在竭尽全力支援武汉、支援前线。
几乎所有的工作人员都在夜以继日地工作,与时间和病毒赛跑,为打赢这场疫情而努力奋斗。
一场抗疫之战。
同时,在抗击疫情的关键时刻,我们也得到了其他国家的支持。
近日,我国外交部发言人华春莹一口气向11个国家表示感谢。
在国内外朋友守望相助的情况下,印度APT组织为何如此肆无忌惮地对中国医疗机构发起针对性攻击?这里我们不妨做一个大胆的猜测:第一,他们是为了获得最新、最前沿的医疗技术。
这与印度APT组织的攻击重点一直在科研和教育领域密切相关;其次,他们是为了进一步拦截医疗器械数据。
为了打赢这场极其艰难的疫情阻击战,我国投入了大量的人力、物力、财力,特别是在医疗设备方面。
因此,该组织此次袭击,可以进一步截获我国更多的医疗设备。
设备数据信息;第三,破坏中国稳定,制造更多恐怖。
面对疫情,这不仅是一场与生物病毒的战斗,更是一场人心之战。
只有人心安定了,社会稳定才有保障。
该组织此次发动袭击,无疑加剧了疫情恐慌,在恐吓中扰乱了社会稳定。
但无论是怎样的猜测,它此刻的出击,都会让本已艰难的抗击疫情的战斗变得更加艰难。