疫情亦網(wǎng)情，新冠病毒之后網(wǎng)絡(luò)空間成疫情戰(zhàn)役的又一重要戰(zhàn)場(chǎng)。

就在全國(guó)人民萬(wàn)眾一心抗擊疫情之時(shí)，近日，360安全大腦捕獲了一例利用新冠肺炎疫情相關(guān)題材投遞的攻擊案例，攻擊者利用肺炎疫情相關(guān)題材作為誘餌文檔，對(duì)抗擊疫情的醫(yī)療工作領(lǐng)域發(fā)動(dòng)APT攻擊。

在進(jìn)一步追蹤溯源中，我們發(fā)現(xiàn)這起APT組織隸屬于印度黑客組織。抗疫攻堅(jiān)難題當(dāng)前，印度APT組織竟公然瞄準(zhǔn)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)動(dòng)攻擊！借勢(shì)攪局、趁火打劫，此舉不僅令人憤慨至極，簡(jiǎn)直是喪盡天良！

帶著滿腔的憤怒，我們進(jìn)一步講述關(guān)于此次攻擊的重磅詳情！

首先：

是誰(shuí)在趁火打劫，對(duì)我國(guó)痛下毒手？

在揭開(kāi)幕后真兇的神秘面紗前，我們先簡(jiǎn)單了解下此次攻擊者的攻擊“路數(shù)”。

該攻擊組織使用采用魚(yú)叉式釣魚(yú)攻擊方式，通過(guò)郵件進(jìn)行投遞。可恨至極的是，它竟公然利用當(dāng)前肺炎疫情等相關(guān)題材作為誘餌文檔，部分相關(guān)誘餌文檔如：武漢旅行信息收集申請(qǐng)表.xlsm，進(jìn)而通過(guò)相關(guān)提示誘導(dǎo)受害者執(zhí)行宏命令。

簡(jiǎn)單說(shuō)，攻擊者其將關(guān)鍵數(shù)據(jù)存在worksheet里，worksheet被加密，宏代碼里面使用key去解密然后取數(shù)據(jù)。然而其用于解密數(shù)據(jù)的Key為：nhc_gover，而nhc正是中華人民共和國(guó)國(guó)家衛(wèi)生健康委員會(huì)的英文縮寫(xiě)。

這里一旦宏命令被執(zhí)行，攻擊者就能訪問(wèn)hxxp://45.xxx.xxx.xx/window.sct，并使用scrobj.dll遠(yuǎn)程執(zhí)行Sct文件，這是一種利用INF Script下載執(zhí)行腳本的技術(shù)。

(關(guān)于此次更多的攻擊細(xì)節(jié)，這里不再贅述，感興趣的小伙伴可點(diǎn)擊此文鏈接《拙劣至極！南亞APT組織借新冠疫情對(duì)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)起定向攻擊！》進(jìn)一步閱讀。)

然而，此處我們想強(qiáng)調(diào)的是，此次攻擊所使用的后門(mén)程序與之前360安全大腦在南亞地區(qū)APT活動(dòng)總結(jié)中已披露的已知的印度組織專屬后門(mén)cnc_client相似，通過(guò)進(jìn)一步對(duì)二進(jìn)制代碼進(jìn)行對(duì)比分析，其通訊格式功能等與cnc_client后門(mén)完全一致。可以確定，攻擊者來(lái)源于印度的APT組織！

值得注意的是，該印度APT組織的攻擊目標(biāo)主要為：中國(guó)、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，其中以竊取敏感信息為主。而且在對(duì)中國(guó)地區(qū)的攻擊中，主要針對(duì)政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊，尤其以科研教育領(lǐng)域?yàn)橹鳌?/p>

其次：

誰(shuí)又該提高警惕，免遭其迫害？

在明確了是誰(shuí)在打我們的時(shí)候，又一個(gè)重要問(wèn)題迎來(lái)而來(lái)，誰(shuí)是此次攻擊的受害者？

不言而喻，當(dāng)攻擊者精心利用新冠肺炎疫情相關(guān)題材，作為誘餌文檔，進(jìn)行魚(yú)叉式攻擊時(shí)，醫(yī)療機(jī)構(gòu)、醫(yī)療工作領(lǐng)域無(wú)疑成為此次攻擊的最大受害者。

別有用心國(guó)家級(jí)APT組織的攪局，讓這場(chǎng)本就步履維艱的疫情之戰(zhàn)，更加艱難。一旦其“攻擊陰謀”得逞，輕則丟失數(shù)據(jù)、引發(fā)計(jì)算機(jī)故障，重則影響各地疫情防控工作的有序推進(jìn)，危及個(gè)人乃至企業(yè)政府等各機(jī)構(gòu)的網(wǎng)路安全。尤其面對(duì)這等有著國(guó)家級(jí)背景的APT組織的攻擊，后果簡(jiǎn)直不堪設(shè)想。

最后：

攻擊者的定向攻擊目的，或許更值得深思？

中國(guó)有句古話，人生有三不笑：不笑天災(zāi)，不笑人禍，不笑疾病。

在重大災(zāi)難疫情面前，國(guó)家、企業(yè)、個(gè)人，我們盡我們一切所能做到的，支援武漢，支援前線，幾乎所有工作者都在不眠不休的與時(shí)間賽跑、與病毒賽跑，在努力打贏這場(chǎng)疫情防御之戰(zhàn)。同時(shí)，抗擊疫情關(guān)鍵時(shí)刻，我們還收到來(lái)自他國(guó)的支持，近日，我國(guó)外交部發(fā)言人華春瑩一口氣向11國(guó)致謝。

就是在國(guó)內(nèi)外友人守望相助時(shí)，為什么印度APT組織卻如此喪盡天良的對(duì)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)動(dòng)定向攻擊？

這里我們不妨有個(gè)大膽的猜測(cè)：

第一， 它們?yōu)榱双@取最新最前沿的醫(yī)療新技術(shù)。這與該印度APT組織的攻擊重點(diǎn)一直在科研教育領(lǐng)域有著莫大關(guān)系；

第二， 它們?yōu)榱诉M(jìn)一步截取醫(yī)療設(shè)備數(shù)據(jù)。為打贏這場(chǎng)異常艱難的疫情之戰(zhàn)，我國(guó)投入了重大的人力、物力、財(cái)力資源，其中尤其在醫(yī)療設(shè)備上更是重點(diǎn)，所以該組織此次發(fā)動(dòng)攻擊，能進(jìn)一步截取我國(guó)更多的醫(yī)療設(shè)備數(shù)據(jù)信息；

第三， 擾亂中國(guó)的穩(wěn)定，制造更多的恐怖。疫情面前，不僅是一場(chǎng)與生物病毒的戰(zhàn)役，更是一場(chǎng)民心之戰(zhàn)，只有民心定了，才能保證社會(huì)的穩(wěn)定。而該組織在此次發(fā)動(dòng)攻擊，無(wú)疑給疫情制造了更多的恐慌，恐嚇之中，進(jìn)行擾亂社會(huì)的穩(wěn)定。

但無(wú)論是哪種猜測(cè)，它在此次時(shí)刻發(fā)動(dòng)攻擊，都將令本就不易的疫情攻堅(jiān)戰(zhàn)更加艱難，但我們更相信我們強(qiáng)大的祖國(guó)，相信奮戰(zhàn)在任何前線的工作人員，不僅是衛(wèi)士醫(yī)療團(tuán)隊(duì)、人民子弟兵，還有那些保證我們網(wǎng)絡(luò)安全的勇士們，我們相信人定勝天！我們一定能打贏這場(chǎng)疫情之戰(zhàn)，也一定能守護(hù)好網(wǎng)絡(luò)空間這片凈土！

加油，中國(guó)！

來(lái)源：360安全衛(wèi)士

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門(mén)】免費(fèi)試用

本文來(lái)源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明