趁火打劫!印度APT组织对我国医疗机构发起针对性攻击。2月4日,360安全大脑抓拍到一起使用新冠肺炎疫情相关话题投放的攻击案例。攻击者以肺炎疫情相关话题为诱饵文件,在疫情医疗工作领域发起APT攻击。活动回顾360安全大脑发现攻击事件后,立即开始追踪破坏行为。经查,这是印度黑客组织APT发起的攻击。攻击组织采用鱼叉式钓鱼攻击方式,通过邮件投递,以当前肺炎疫情等相关话题为诱饵文件,部分相关诱饵文件如:武汉旅游信息采集申请表.xlsm,然后诱导受害者执行宏命令。宏代码如下:攻击者将关键数据存储在工作表中,工作表被加密,宏代码使用密钥解密,然后取回数据。而用于解密数据的Key是:nhc_gover,nhc是NationalHealthCommission的英文缩写。一旦执行宏命令,攻击者就可以访问hxxp://45.xxx.xxx.xx/window.sct,使用scrobj.dll远程执行sct文件,这是一种利用INFScript下载执行的技术脚本。这里可以再详细一点,sct是一个JS脚本。JS脚本会再次访问下载hxxp://45.xxx.xxx.xx/window.jpeg,并重命名为temp.exe,存放在用户的启动文件夹中,实现自启动常驻。值得一提的是,本次攻击使用的后门程序与之前在南亚的360SecurityBrainAPT活动总结中披露的印度组织已知的后门cnc_client相似。通过对二进制代码进一步对比分析,其通信格式和功能与cnc_client后门完全一致。后来确定攻击者是一个来自印度的APT组织。印度APT组织是谁?早在2018年,美国安全事件处理公司Volexity就指出,其安全团队在同年3月和4月发现了多起鱼叉式钓鱼攻击,这些活动均被认为是印度APT黑客组织“Patchwork”所为,也俗称“落象”。像Patchwork这样的APT黑客组织,除了发送诱饵文件来传播恶意软件之外,还在他们的电子邮件中使用独特的跟踪链接来识别哪些收件人打开了电子邮件。南亚的APT攻击组织也比较多,比较有代表性的有SideWinder(响尾蛇)、BITTER(满菱花)、WhiteElephant、Donot等。趁火打劫,意图何在?对于印度APT组织此时对中国医疗机构发起针对性攻击的原因,安全团队在官方微信公众号上做出了一些猜测,具体如下:一是为了获取最新最前沿的医疗技术。这与印度APT组织的攻击重点一直在科研和教育领域有很大关系;二是进一步拦截医疗器械数据。为了打赢这场异常艰苦的抗疫战役,我国投入了大量的人力、物力和财力,尤其是医疗设备。因此,该组织此次的攻击,可以进一步截获更多的医疗设备数据信息;三是扰乱国家稳定,制造恐慌。面对疫情,不仅是一场与生物病毒的较量,更是一场人心的较量。民心安定,社会稳定才有保障。而组织此时发起的进攻,无疑给疫情制造了更多的恐慌。结束语网络安全和信息安全一直是需要重点关注的事情。在过去几年中,与安全相关的事件成为头条新闻,从医疗信息、帐户凭证、公司电子邮件到敏感的公司内部数据。为了避免此类事件的发生,企业或个人首先需要提高安全意识,然后采取相应的安全措施加以防范。在当前的疫情形势下,我们不能放松警惕,尤其是在与医疗相关的重点领域。
