網(wǎng)安企業(yè)：近兩年印度黑客網(wǎng)絡(luò)攻擊大幅增加，疫情初曾偽造體檢表格攻擊中國醫(yī)療行業(yè)

回顧2020年，360監(jiān)控并捕獲到的初始攻擊載荷共有上百個，以印度為主要代表的南亞地區(qū)的APT組織的主要攻擊手段是通過魚叉郵件來誘導(dǎo)用戶執(zhí)行各種類的惡意載荷，其涉及的題材豐富多樣。2021年年初至今，以印度為主要代表的南亞地區(qū)APT組織仍然非?；钴S，主要針對我國和其他南亞地區(qū)國家，圍繞地緣政治相關(guān)的目標(biāo)，涉及教育、政府、航天航空和國防軍工多個領(lǐng)域的目標(biāo)進(jìn)行攻擊。
360政企安全集團(tuán)安全專家告訴《環(huán)球時報》記者，來自以印度為主要代表的南亞地區(qū)的網(wǎng)絡(luò)攻擊活躍趨勢，從2020下半年開始一直持續(xù)至目前，且一直呈大幅上升趨勢，尤其2021年上半年的攻擊活動中，針對時事熱點(diǎn)的跟進(jìn)頻次和細(xì)分粒度已明顯超過去年同期。來自印度等南亞國家的網(wǎng)絡(luò)攻擊涉及題材豐富多樣，緊跟時事熱點(diǎn)，且目標(biāo)針對性極強(qiáng)，360安全專家推斷其背后有專門針對目標(biāo)國家相關(guān)領(lǐng)域時事新聞的情報分析，同時以此來指導(dǎo)其進(jìn)行網(wǎng)絡(luò)攻擊活動，“時事熱點(diǎn)的范疇除政治、經(jīng)濟(jì)領(lǐng)域外，還包括疫情態(tài)勢、某行業(yè)專項(xiàng)活動等，這些都會被APT攻擊所關(guān)注。”
例如，在2020年疫情初期， 一個名為“APT-C-48( CNC）”的組織借新冠肺炎疫情在我國暴發(fā)，通過偽造體檢表格等文檔對我國醫(yī)療等行業(yè)發(fā)起攻擊；360捕獲到相應(yīng)攻擊并第一時間預(yù)警客戶，并率先公開披露提醒各重點(diǎn)單位部門提防相關(guān)攻擊。各大單位平臺也發(fā)布相關(guān)預(yù)警通告。隨后CNC小組在2020年也未有較大的活動,但是在2021年4月，360捕獲到CNC組織針對我國重點(diǎn)單位發(fā)起了新一輪的攻擊；2021年6月中旬，CNC組織在我國航天時事熱點(diǎn)前后，針對我國航空航天領(lǐng)域相關(guān)的重點(diǎn)單位突然發(fā)起集中攻擊。
2020年6月，一個名為“響尾蛇”的組織瞄準(zhǔn)中國某大學(xué)生招生辦進(jìn)行攻擊，該時間點(diǎn)正逢某大學(xué)自強(qiáng)計(jì)劃公布初評結(jié)果，“響尾蛇”結(jié)合疫情，使用《疫情防控期間優(yōu)秀教師推薦表》等相關(guān)文檔針對某大學(xué)多位招生辦老師進(jìn)行攻擊； 2020年11月，“蔓靈花”對中國中藥科研機(jī)構(gòu)進(jìn)行攻擊。2021年8月，“APT-C-09（摩訶草）”組織借助美女圖片作為誘餌制作惡意程序，通過婚介主題來誘騙目標(biāo)執(zhí)行惡意程序，針對南亞地區(qū)周邊國家目標(biāo)進(jìn)行攻擊活動；2021年10月， CNC組織利用惡意pub文件（廣泛應(yīng)用于廣告,書本,證件各類出版物的一類電子文檔），對我國多所科研機(jī)構(gòu)進(jìn)行攻擊。
專家表示，從技術(shù)方面講，以印度為代表的南亞地區(qū)網(wǎng)絡(luò)攻擊組織具有明顯的特征，其主要利用釣魚郵件，且擅長使用社會工程學(xué)手段。比如“蔓靈花（APT-C-08）”組織更多是仿冒目標(biāo)單位的郵箱系統(tǒng)進(jìn)行釣魚網(wǎng)站攻擊，攻擊占比達(dá)到7成。
同時“蔓靈花”組織也在謀求一種新型供應(yīng)鏈攻擊，這類攻擊目標(biāo)并不是供應(yīng)商和最終目標(biāo)需求方，而是針對中間服務(wù)商目標(biāo)，如招標(biāo)代理機(jī)構(gòu)。在鎖定攻擊目標(biāo)后，“蔓靈花”組織進(jìn)一步會采用0day漏洞進(jìn)行滲透攻擊。今年上半年“蔓靈花”組織就使用WINDOWS內(nèi)核提權(quán)0day漏洞（CVE-2021-1732）進(jìn)行了攻擊活動。
另外，在廣泛使用的仿冒目標(biāo)郵箱系統(tǒng)的釣魚攻擊中，“蔓靈花”組織除了克隆目標(biāo)的郵件系統(tǒng)以外，還會使用某類重要文檔文件的預(yù)覽內(nèi)容制作釣魚網(wǎng)頁，誘騙用戶登陸下載文檔以盜取用戶的賬戶密碼。
而“CNC（APT-C-48）”組織則習(xí)慣改造使用開源木馬程序和GITHUB等云服務(wù)作為命令控制，在木馬對受害目標(biāo)整個遠(yuǎn)程控制的過程中，都是通過匿名的github賬戶對受害目標(biāo)發(fā)起木馬下載、用戶信息竊取等攻擊指令。
360安全專家表示，在實(shí)際監(jiān)測中也發(fā)現(xiàn)了數(shù)量眾多的受害者，這說明部分單位的網(wǎng)絡(luò)安全防范措施和意識仍有很大的提升空間，部分短板依舊可以導(dǎo)致安全問題。
文章轉(zhuǎn)載自國際在線