【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

趁火打劫!印度 APT 组织对我国医疗机构发起定向攻击

  • 2020-02-05
  • 本文字数:2315 字

    阅读完需:约 8 分钟

趁火打劫!印度APT组织对我国医疗机构发起定向攻击

在全国人民万众一心抗击疫情之际,印度黑客组织趁机作乱,对我国医疗机构发起定向攻击。


2 月 4 日,360 安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动 APT 攻击。

事件回顾

360 安全大脑在发现遭受攻击后,立即对这一破坏行为展开追踪。调查后发现,这是一起由印度黑客组织 APT 发起的攻击。


该攻击组织采用鱼叉式钓鱼攻击方式,通过邮件进行投递,利用当前肺炎疫情等相关题材作为诱饵文档,部分相关诱饵文档如:武汉旅行信息收集申请表.xlsm,进而通过相关提示诱导受害者执行宏命令。


宏代码如下:



攻击者将关键数据存在 worksheet 里,worksheet 被加密,宏代码里面使用 key 去解密然后取数据。然而,其用于解密数据的 Key 为:nhc_gover,而 nhc 正是国家卫生健康委员会的英文缩写。


一旦宏命令被执行,攻击者就能访问 hxxp://45.xxx.xxx.xx/window.sct,并使用 scrobj.dll 远程执行 Sct 文件,这是一种利用 INF Script 下载执行脚本的技术。


这里可以说得再详细一些,Sct 为一段 JS 脚本。



JS 脚本会再次访问下载 hxxp://45.xxx.xxx.xx/window.jpeg,并将其重命名为 temp.exe,存放于用户的启动文件夹下,实现自启动驻留。


值得一提的是,此次攻击所使用的后门程序与之前 360 安全大脑在南亚地区 APT 活动总结中已披露的已知印度组织专属后门 cnc_client 相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与 cnc_client 后门完全一致。后经确定,攻击者是来源于印度的 APT 组织。

印度 APT 组织是谁?

早在 2018 年,美国安全事件处理公司 Volexity 就指出,其安全团队在同年 3 月和 4 月发现了多起鱼叉式网络钓鱼攻击活动,而这些活动都被认为是由印度 APT 黑客组织“Patchwork”发起的,该组织通常也被称为“Dropping Elephant”。


像 Patchwork 这类 APT 黑客组织,除了发送用于传播恶意软件的诱饵文档之外,还会利用其电子邮件中的独特跟踪链接,以识别都有哪些收件人打开了电子邮件。南亚地区的 APT 攻击组织也相对较多,较有代表性的包括 SideWinder(响尾蛇)、BITTER(蔓灵花)、白象、Donot 等。

趁火打劫,意欲何为?

针对本次印度 APT 组织此时对我国医疗机构发动定向攻击的原因,360 安全团队在官方微信公众号进行了部分猜测,如下:


第一,为获取最新、最前沿的医疗新技术。这与该印度 APT 组织的攻击重点一直在科研教育领域有着莫大关系;


第二,为进一步截取医疗设备数据。为打赢这场异常艰难的疫情之战,我国投入了重大的人力、物力、财力资源,尤其是医疗设备上。所以,该组织此次发动攻击,能进一步截取更多医疗设备数据信息;


第三,扰乱国家稳定、制造恐慌。疫情面前,不仅是一场与生物病毒的战役,更是一场民心之战,只有民心定了,才能保证社会稳定。而该组织在此时发动攻击,无疑给疫情制造了更多恐慌。

怎么做?

针对本次事件,InfoQ 采访了启明星辰的技术专家,探讨如何避免此类情况的发生。专家表示,已经注意到最近有来自南亚(疑似印度)方向的 APT 组织借助新冠疫情热点对我国医疗单位进行有针对性的攻击。从攻击的手法来看,其和以往的攻击思路大致相同,主要借助钓鱼网站+钓鱼文档的形式进行攻击。从本次攻击使用的资产来看,其构造时间正是本次疫情发生的时间点(1 月下旬),诱饵文件和钓鱼网站非常有迷惑性和针对性,显示该组织非常了解中国时事热点,是有针对有预谋的“趁火打劫”。从攻击最终的目的来看,其主要是对目标主机实现全面的控制,在目标主机上执行任意指令,进而最终窃取目标主机的核心机密。


预计近期可能会有更多类似攻击出现,尤其是医疗行业。医疗机构一般防御措施有限,一旦被攻击会造成严重后果。此次攻击还只能造成被攻击目标的文件失窃、主机被控,其影响结果虽严重,但影响效果尚且是“无形”的。但随着更多的黑客组织在此刻关注到相关热点,很有可能会有更多攻击手法出现。如果再出现像去年针对医疗行业的针对性勒索攻击的话,将会对相关目标造成灾难性后果,可直接造成整个医院业务停摆。如果相关的攻击发生在疫情严重地区的话,其后果不堪想象。


医疗行业是此次防范的重点,建议采取以下防范措施:


1、及时升级操作系统以及应用软件,打全补丁,尤其是 MS17-010、CVE-2019-0708 等高危漏洞的补丁。由于 Windows 7 操作系统已经停止推送更新补丁,建议有条件的更新到 Windows 10 操作系统。


2、及时更新已部署的终端、边界防护产品规则。


3、尽量减少各种外部服务的暴露面(如 RDP,VNC 等远程服务),如果一定要开启的话,需要设置白名单访问策略,设置足够强壮的登陆密码,避免黑客利用远程服务攻入。


4、增强人员的网络安全意识,不打开不明邮件,邮件中的不明链接、附件等。


5、常用办公软件应保持严格的安全策略,如禁止运行 Office 宏等。



很多企业纷纷开始远程办公模式,因此医疗行业之外的个人和企业也应加强防范。对暴露在互联网上的主机应采取一些必要的防范措施。


1、及时升级相关主机的补丁,尤其是 2019 年出现的 CVE-2019-0708 等一系列 RDP 漏洞。


2、设置足够强壮的登陆密码,并开启强制身份认证,避免黑客利用远程服务攻入。


结束语

网络安全与信息安全一直是需要重点关注的事情。过去几年,安全相关事件频频登上头条新闻,从医疗信息、账户凭证、企业电子邮件到企业内部敏感数据。为避免此类事件发生,企业或个人首先需要提高安全意识,其次采取恰当的安全手段进行防范。疫情当前,我们尤为不要放松警惕,特别是与医疗相关的关键领域。


面对此次攻击事件,InfoQ 也将持续关注后续事件发展情况,及时在评论区跟进动态,广大读者如有好的建议,欢迎评论告诉我们。


参考链接:


https://mp.weixin.qq.com/s/kLZUf44WmeS_Qnc90fWKNA


公众号推荐:

2024 年 1 月,InfoQ 研究中心重磅发布《大语言模型综合能力测评报告 2024》,揭示了 10 个大模型在语义理解、文学创作、知识问答等领域的卓越表现。ChatGPT-4、文心一言等领先模型在编程、逻辑推理等方面展现出惊人的进步,预示着大模型将在 2024 年迎来更广泛的应用和创新。关注公众号「AI 前线」,回复「大模型报告」免费获取电子版研究报告。

AI 前线公众号
2020-02-05 14:328744

评论 1 条评论

发布
用户头像
趁火打劫 可恶!
2020-02-10 16:55
回复
没有更多了
发现更多内容

基于Java+Dubbo设计的智能公交查询系统

DS小龙哥

三周年连更

什么叫函数的注册,用c++举个例子

linux大本营

c++ 函数

领先企业的数智化进入2.0阶段,需要升级数智底座

用友BIP

缓解过拟合方法

linux大本营

uniapp配置基本的tabbar和动态修改内容

格斗家不爱在外太空沉思

uni-app 三周年连更

【Python实战】XPath采集数据

BROKEN

三周年连更

创新引领・数创未来 | 数据流通与治理专题论坛交流会顺利召开

郑州埃文科技

Go 语言中的 Slice 陷阱:如何避免常见错误

陈明勇

Go golang 切片 三周年连更 切片陷阱

面试必考: 手撕代码系列(一)

控心つcrazy

JavaScript 手写代码 前端面试 手撕代码 超全前端面试题

C++grpc 服务器接收到请求后如何处理

linux大本营

gRPC 序列化 protobuf C++

delphi中TServerSocker使用stThreadBlocking模式的例子

linux大本营

Spring中事务嵌套这么用一定得注意了!!

JAVA旭阳

Java spring

ChatGPT安全受质疑 网信办发布生成式人工智能服务管理办法意见稿

郑州埃文科技

AI大模型加速RPAxAI时代到来,谁会是RPA领域的杀手级应用?

王吉伟频道

RPA AI大模型 ChatGPT RPAxAI 企业级RPA

winDbg 提示 Unable to verify checksum for IOCommModel.exe

linux大本营

网络安全 数字证书

Qz学算法-数据结构篇(链表、栈)

浅辄

数据结构 链表 三周年连更

跨平台应用开发进阶(五十三):uni-app 通过webview方式嵌套H5实现图片点击下载

No Silver Bullet

uni-app 跨平台应用开发 三周年连更 web-view

ES开发指南|如何快速上手ElasticSearch

浅羽技术

全文检索 搜索 Lucence Elastic Search 三周年连更

算法题每日一练:组合总和 Ⅳ

知心宝贝

数据结构 算法 前端 后端 三周年连更

/sbin/kexec参数说明

linux大本营

Linux 镜像 Linux内核

SpringBoot之Tomcat与Undertow容器性能对比 | 超级详细,建议收藏

bug菌

tomcat 三周年连更 Undertow

【Linux】iptables之防火墙概述及规则匹配+实例(1)

A-刘晨阳

Linux iptables 防火墙规则 三周年连更

想转行计算机但不知道转哪个方面比较好?

linux大本营

软件开发 计算机

arm m4 xpsr每一位的作用

linux大本营

寄存器 arm

koal_dm8_crypto.so.1.0.9.x86.b6f523 怎么安装

linux大本营

Linux linux文件

火山引擎云原生数据仓库ByteHouse技术白皮书V1.0 (Ⅴ)

字节跳动数据平台

数据仓库 云原生 白皮书 企业号 4 月 PK 榜

创建和管理复杂的项目:OmniPlan Pro 4 mac中文版

真大的脸盆

Mac Mac 软件 项目管理工具 项目流程软件

@PathVariable 和 @RequestParam 的区别

linux大本营

Gradle工程适配为Hvigor工程

坚果

OpenHarmony 三周年连更

leaflet加载聚合

linux大本营

强大的音频分析编辑工具:Amadeus Pro 汉化激活版

真大的脸盆

Mac Mac 软件 音频编辑 音频处理工具 编辑音频

趁火打劫!印度APT组织对我国医疗机构发起定向攻击_AICon_陈思_InfoQ精选文章