记者从360政企安全集团独家获悉,近两年来以印度为主要代表的南亚地区的APT组织(定向威胁攻击组织)一直处于十分活跃的状态,尤其2021年上半年相关网络攻击较去年有大幅增加,其攻击目标不仅涉及教育、政府、航天航空和国防军工多个领域,更是通过紧密围绕政治、经济等热点领域及事件瞄准涉及相关时事热点的重点机构或个人。专家推断,精准的网络攻击背后有专门针对目标国家相关领域时事新闻的情报分析。
回顾2020年,360监控并捕获到的初始攻击载荷共有上百个,以印度为主要代表的南亚地区的APT组织的主要攻击手段是通过鱼叉邮件来诱导用户执行各种类的恶意载荷,其涉及的题材丰富多样。2021年年初至今,以印度为主要代表的南亚地区APT组织仍然非常活跃,主要针对我国和其他南亚地区国家,围绕地缘政治相关的目标,涉及教育、政府、航天航空和国防军工多个领域的目标进行攻击。
360政企安全集团安全专家告诉《环球时报》记者,来自以印度为主要代表的南亚地区的网络攻击活跃趋势,从2020下半年开始一直持续至目前,且一直呈大幅上升趋势,尤其2021年上半年的攻击活动中,针对时事热点的跟进频次和细分粒度已明显超过去年同期。来自印度等南亚国家的网络攻击涉及题材丰富多样,紧跟时事热点,且目标针对性极强,360安全专家推断其背后有专门针对目标国家相关领域时事新闻的情报分析,同时以此来指导其进行网络攻击活动,“时事热点的范畴除政治、经济领域外,还包括疫情态势、某行业专项活动等,这些都会被APT攻击所关注。”
例如,在2020年疫情初期, 一个名为“APT-C-48( CNC)”的组织借新冠肺炎疫情在我国暴发,通过伪造体检表格等文档对我国医疗等行业发起攻击;360捕获到相应攻击并第一时间预警客户,并率先公开披露提醒各重点单位部门提防相关攻击。各大单位平台也发布相关预警通告。随后CNC小组在2020年也未有较大的活动,但是在2021年4月,360捕获到CNC组织针对我国重点单位发起了新一轮的攻击;2021年6月中旬,CNC组织在我国航天时事热点前后,针对我国航空航天领域相关的重点单位突然发起集中攻击。
2020年6月,一个名为“响尾蛇”的组织瞄准中国某大学生招生办进行攻击,该时间点正逢某大学自强计划公布初评结果,“响尾蛇”结合疫情,使用《疫情防控期间优秀教师推荐表》等相关文档针对某大学多位招生办老师进行攻击; 2020年11月,“蔓灵花”对中国中药科研机构进行攻击。2021年8月,“APT-C-09(摩诃草)”组织借助美女图片作为诱饵制作恶意程序,通过婚介主题来诱骗目标执行恶意程序,针对南亚地区周边国家目标进行攻击活动;2021年10月, CNC组织利用恶意pub文件(广泛应用于广告,书本,证件各类出版物的一类电子文档),对我国多所科研机构进行攻击。
专家表示,从技术方面讲,以印度为代表的南亚地区网络攻击组织具有明显的特征,其主要利用钓鱼邮件,且擅长使用社会工程学手段。比如“蔓灵花(APT-C-08)”组织更多是仿冒目标单位的邮箱系统进行钓鱼网站攻击,攻击占比达到7成。
同时“蔓灵花”组织也在谋求一种新型供应链攻击,这类攻击目标并不是供应商和最终目标需求方,而是针对中间服务商目标,如招标代理机构。在锁定攻击目标后,“蔓灵花”组织进一步会采用0day漏洞进行渗透攻击。今年上半年“蔓灵花”组织就使用WINDOWS内核提权0day漏洞(CVE-2021-1732)进行了攻击活动。
另外,在广泛使用的仿冒目标邮箱系统的钓鱼攻击中,“蔓灵花”组织除了克隆目标的邮件系统以外,还会使用某类重要文档文件的预览内容制作钓鱼网页,诱骗用户登陆下载文档以盗取用户的账户密码。
而“CNC(APT-C-48)”组织则习惯改造使用开源木马程序和GITHUB等云服务作为命令控制,在木马对受害目标整个远程控制的过程中,都是通过匿名的github账户对受害目标发起木马下载、用户信息窃取等攻击指令。
360安全专家表示,在实际监测中也发现了数量众多的受害者,这说明部分单位的网络安全防范措施和意识仍有很大的提升空间,部分短板依旧可以导致安全问题。