趁火打劫!印度APT组织对我国医疗机构发起定向攻击

安全 应用安全
在全国人民万众一心抗击疫情之际,印度黑客组织竟然趁机作乱,对我国医疗机构发起定向攻击。

 2 月 4 日,360 安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动 APT 攻击。

事件回顾

360 安全大脑在发现遭受攻击后,立即对这一破坏行为展开追踪。调查后发现,这是一起由印度黑客组织 APT 发起的攻击。

该攻击组织采用鱼叉式钓鱼攻击方式,通过邮件进行投递,利用当前肺炎疫情等相关题材作为诱饵文档,部分相关诱饵文档如:武汉旅行信息收集申请表.xlsm,进而通过相关提示诱导受害者执行宏命令。

宏代码如下:

 

 

 

攻击者将关键数据存在 worksheet 里,worksheet 被加密,宏代码里面使用 key 去解密然后取数据。然而,其用于解密数据的 Key 为:nhc_gover,而 nhc 正是国家卫生健康委员会的英文缩写。

一旦宏命令被执行,攻击者就能访问 hxxp://45.xxx.xxx.xx/window.sct,并使用 scrobj.dll 远程执行 Sct 文件,这是一种利用 INF Script 下载执行脚本的技术。

这里可以说得再详细一些,Sct 为一段 JS 脚本。

 

 

JS 脚本会再次访问下载 hxxp://45.xxx.xxx.xx/window.jpeg,并将其重命名为 temp.exe,存放于用户的启动文件夹下,实现自启动驻留。

 

 

值得一提的是,此次攻击所使用的后门程序与之前 360 安全大脑在南亚地区 APT 活动总结中已披露的已知印度组织专属后门 cnc_client 相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与 cnc_client 后门完全一致。后经确定,攻击者是来源于印度的 APT 组织。

印度 APT 组织是谁?

早在 2018 年,美国安全事件处理公司 Volexity 就指出,其安全团队在同年 3 月和 4 月发现了多起鱼叉式网络钓鱼攻击活动,而这些活动都被认为是由印度 APT 黑客组织“Patchwork”发起的,该组织通常也被称为“Dropping Elephant”。

像 Patchwork 这类 APT 黑客组织,除了发送用于传播恶意软件的诱饵文档之外,还会利用其电子邮件中的独特跟踪链接,以识别都有哪些收件人打开了电子邮件。南亚地区的 APT 攻击组织也相对较多,较有代表性的包括 SideWinder(响尾蛇)、BITTER(蔓灵花)、白象、Donot 等。

趁火打劫,意欲何为?

针对本次印度 APT 组织此时对我国医疗机构发动定向攻击的原因,360 安全团队在官方微信公众号进行了部分猜测,如下:

第一,为获取最新、最前沿的医疗新技术。这与该印度 APT 组织的攻击重点一直在科研教育领域有着莫大关系;

第二,为进一步截取医疗设备数据。为打赢这场异常艰难的疫情之战,我国投入了重大的人力、物力、财力资源,尤其是医疗设备上。所以,该组织此次发动攻击,能进一步截取更多医疗设备数据信息;

第三,扰乱国家稳定、制造恐慌。疫情面前,不仅是一场与生物病毒的战役,更是一场民心之战,只有民心定了,才能保证社会稳定。而该组织在此时发动攻击,无疑给疫情制造了更多恐慌。

结束语

网络安全与信息安全一直是需要重点关注的事情。过去几年,安全相关事件频频登上头条新闻,从医疗信息、账户凭证、企业电子邮件到企业内部敏感数据。为避免此类事件发生,企业或个人首先需要提高安全意识,其次采取恰当的安全手段进行防范。疫情当前,我们尤为不要放松警惕,特别是与医疗相关的关键领域。

 

责任编辑:华轩 来源: AI前线
相关推荐

2021-12-27 09:43:32

恶意代码APT攻击

2020-05-07 13:40:30

黑客组织APT32网络安全

2022-01-26 09:48:49

勒索软件网络攻击数据泄露

2021-11-30 14:41:25

网络攻击医疗机构网络安全

2013-09-29 09:49:14

2020-05-11 17:16:21

网络攻击智能安防疫情

2020-05-12 10:23:41

勒索软件ColdLock网络攻击

2011-09-23 18:16:32

曙光

2022-03-31 09:35:36

透明部落恶意软件网络攻击

2023-05-18 22:46:41

2020-04-11 22:53:40

网络攻击医疗保健网络安全

2022-03-21 09:36:50

医疗机构网络感染网络安全

2020-09-18 11:19:03

恶意软件Linux网络攻击

2020-09-16 10:25:36

恶意软件Linux网络攻击

2024-05-23 15:13:06

2021-05-26 05:42:37

勒索软件攻击数据泄露

2020-11-08 14:29:51

网络安全网络攻击数据泄露

2024-10-11 16:42:41

点赞
收藏

51CTO技术栈公众号