网盾网络安全培训学校育,只培训技术精英
全国免费咨询电话: 15527777548/18696195380
警惕!这个黑客组织盯上了我国军工和高校

警惕!这个黑客组织盯上了我国军工和高校

近期,国内某安全公司通过威胁狩猎系统捕获到多起黑客组织的攻击活动。攻击者通过钓鱼邮件向我国政府及高校发起网络攻击,通过在邮件中附带恶意附件执行恶意代码,恶意附件伪造为.pdf文件,实际上为.lnk快捷方式,快捷方式通过powershell从C2服务器下载诱饵及木马文件。

在攻击手法上,投递阶段以附带恶意附件或恶意连接的钓鱼邮件为主,投递阶段的标题多以“通知”、“会议”、“纪要”等具有时效性的话题为主。

 

通过进一步溯源,发现攻击来源于白象APT组织。

白象APT组织(Patchwork)是一支疑似具有南亚某政府背景的黑客组织,最早攻击活动可追溯到2009年。其攻击目标主要为中国、巴基斯坦、孟加拉国等国家的军工、外交、科研高校等相关敏感单位。

APT是Advanced Persistent Threat(高级持久性威胁)的缩写,指的是一种高级的、长期的、有组织的网络攻击行为。与传统网络攻击不同,APT攻击旨在长期潜伏于受害者的网络中,寻找目标资产和信息,进行隐蔽的窃取,尽可能地避开网络安全防线的检测。

 

白象组织近年来被认为是一个活跃的黑客组织,他们的攻击不仅限于特定的行业或国家,而是全球性的。这个组织的目标通常是政府机构、大型企业、金融机构、学术组织等重要目标,他们使用的攻击手段也不断进化,包括网络钓鱼、勒索软件、远程攻击等多种方式。

白象组织的攻击造成了严重的数据泄露、财务损失,甚至危及了国家安全和人民生命安全。国际组织和各国政府已采取措施对抗黑客白象组织,包括加强网络安全监管、加强跨国协作和打击犯罪组织等。

 

此次针对我国的攻击,白象组织不仅使用以往常用的BADNEWS木马对目标进行远控,还利用商业木马“Remcos”以及开源渗透框架“Havoc”对目标发起攻击。

攻击者利用“GJ重点研发计划”、“先进结构与复合材料”等为话题,向目标用户发送钓鱼邮件,并在钓鱼邮件中附带与邮件标题同名的恶意附件。

 

攻击者所发送邮件内的附件主要为一个仿冒.pdf的.lnk文件,实际上通过powershell执行恶意代码,功能为从C2地址“msit5214.b-cdn.net”下载并打开诱饵文件,而木马文件则通过“msit5214.b-cdn.net/c”下载并创建名为“OneDriveUpdate”的计划任务执行。

 

该木马为白象组织常用木马Badnews,攻击者在本次攻击活动中对木马进行了部分修改,以往版本的Badnews木马远控指令以“0”、“4”、“8”、“13”等数字下发,且会将命令执行结果保存在主机本地,在本次攻击活动中,远控指令以“3fgjfhg4”、“3gjdfghj6”、“3gnfjhk7”下发,并将很少一部分执行结果保存在本地,大部分窃取的内容直接发送回C2地址。

 

攻击者以“青年文明号开放周活动的通知.pdf.lnk”为文件名发起攻击,利用相同的攻击手法,从C2地址同时下载诱饵.pdf文件及后续载荷。

 

攻击者后续攻击载荷投递名为“Havoc”的开源框架木马,最终与C2地址45.125.67.100:443建立通信。

除此之外,在Badnews木马的特征上,他们还会以“与孟加拉国海军的联合行动会议纪要”、“NVIDIA GeForce Experience”、“土耳其代表团”等为题发起攻击,后续攻击载荷都为Remcos远控木马。

白象组织目前正保持着高频率的攻击活动,攻击的目标主要为南亚周边国家。在攻击手法上,投递阶段也主要以附带恶意附件或恶意连接的钓鱼邮件为主,投递阶段的标题多以“通知”、“会议”、“纪要”等具有时效性的话题为主,在后续载荷中除了使用以往的BADNEWS木马外,白象组织还开始使用开源木马如“Remcos”、“Havoc”对目标进行后渗透。