写点什么

趁火打劫!印度 APT 组织对我国医疗机构发起定向攻击

  • 2020-02-05
  • 本文字数:2315 字

    阅读完需:约 8 分钟

趁火打劫!印度APT组织对我国医疗机构发起定向攻击

在全国人民万众一心抗击疫情之际,印度黑客组织趁机作乱,对我国医疗机构发起定向攻击。


2 月 4 日,360 安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动 APT 攻击。

事件回顾

360 安全大脑在发现遭受攻击后,立即对这一破坏行为展开追踪。调查后发现,这是一起由印度黑客组织 APT 发起的攻击。


该攻击组织采用鱼叉式钓鱼攻击方式,通过邮件进行投递,利用当前肺炎疫情等相关题材作为诱饵文档,部分相关诱饵文档如:武汉旅行信息收集申请表.xlsm,进而通过相关提示诱导受害者执行宏命令。


宏代码如下:



攻击者将关键数据存在 worksheet 里,worksheet 被加密,宏代码里面使用 key 去解密然后取数据。然而,其用于解密数据的 Key 为:nhc_gover,而 nhc 正是国家卫生健康委员会的英文缩写。


一旦宏命令被执行,攻击者就能访问 hxxp://45.xxx.xxx.xx/window.sct,并使用 scrobj.dll 远程执行 Sct 文件,这是一种利用 INF Script 下载执行脚本的技术。


这里可以说得再详细一些,Sct 为一段 JS 脚本。



JS 脚本会再次访问下载 hxxp://45.xxx.xxx.xx/window.jpeg,并将其重命名为 temp.exe,存放于用户的启动文件夹下,实现自启动驻留。


值得一提的是,此次攻击所使用的后门程序与之前 360 安全大脑在南亚地区 APT 活动总结中已披露的已知印度组织专属后门 cnc_client 相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与 cnc_client 后门完全一致。后经确定,攻击者是来源于印度的 APT 组织。

印度 APT 组织是谁?

早在 2018 年,美国安全事件处理公司 Volexity 就指出,其安全团队在同年 3 月和 4 月发现了多起鱼叉式网络钓鱼攻击活动,而这些活动都被认为是由印度 APT 黑客组织“Patchwork”发起的,该组织通常也被称为“Dropping Elephant”。


像 Patchwork 这类 APT 黑客组织,除了发送用于传播恶意软件的诱饵文档之外,还会利用其电子邮件中的独特跟踪链接,以识别都有哪些收件人打开了电子邮件。南亚地区的 APT 攻击组织也相对较多,较有代表性的包括 SideWinder(响尾蛇)、BITTER(蔓灵花)、白象、Donot 等。

趁火打劫,意欲何为?

针对本次印度 APT 组织此时对我国医疗机构发动定向攻击的原因,360 安全团队在官方微信公众号进行了部分猜测,如下:


第一,为获取最新、最前沿的医疗新技术。这与该印度 APT 组织的攻击重点一直在科研教育领域有着莫大关系;


第二,为进一步截取医疗设备数据。为打赢这场异常艰难的疫情之战,我国投入了重大的人力、物力、财力资源,尤其是医疗设备上。所以,该组织此次发动攻击,能进一步截取更多医疗设备数据信息;


第三,扰乱国家稳定、制造恐慌。疫情面前,不仅是一场与生物病毒的战役,更是一场民心之战,只有民心定了,才能保证社会稳定。而该组织在此时发动攻击,无疑给疫情制造了更多恐慌。

怎么做?

针对本次事件,InfoQ 采访了启明星辰的技术专家,探讨如何避免此类情况的发生。专家表示,已经注意到最近有来自南亚(疑似印度)方向的 APT 组织借助新冠疫情热点对我国医疗单位进行有针对性的攻击。从攻击的手法来看,其和以往的攻击思路大致相同,主要借助钓鱼网站+钓鱼文档的形式进行攻击。从本次攻击使用的资产来看,其构造时间正是本次疫情发生的时间点(1 月下旬),诱饵文件和钓鱼网站非常有迷惑性和针对性,显示该组织非常了解中国时事热点,是有针对有预谋的“趁火打劫”。从攻击最终的目的来看,其主要是对目标主机实现全面的控制,在目标主机上执行任意指令,进而最终窃取目标主机的核心机密。


预计近期可能会有更多类似攻击出现,尤其是医疗行业。医疗机构一般防御措施有限,一旦被攻击会造成严重后果。此次攻击还只能造成被攻击目标的文件失窃、主机被控,其影响结果虽严重,但影响效果尚且是“无形”的。但随着更多的黑客组织在此刻关注到相关热点,很有可能会有更多攻击手法出现。如果再出现像去年针对医疗行业的针对性勒索攻击的话,将会对相关目标造成灾难性后果,可直接造成整个医院业务停摆。如果相关的攻击发生在疫情严重地区的话,其后果不堪想象。


医疗行业是此次防范的重点,建议采取以下防范措施:


1、及时升级操作系统以及应用软件,打全补丁,尤其是 MS17-010、CVE-2019-0708 等高危漏洞的补丁。由于 Windows 7 操作系统已经停止推送更新补丁,建议有条件的更新到 Windows 10 操作系统。


2、及时更新已部署的终端、边界防护产品规则。


3、尽量减少各种外部服务的暴露面(如 RDP,VNC 等远程服务),如果一定要开启的话,需要设置白名单访问策略,设置足够强壮的登陆密码,避免黑客利用远程服务攻入。


4、增强人员的网络安全意识,不打开不明邮件,邮件中的不明链接、附件等。


5、常用办公软件应保持严格的安全策略,如禁止运行 Office 宏等。



很多企业纷纷开始远程办公模式,因此医疗行业之外的个人和企业也应加强防范。对暴露在互联网上的主机应采取一些必要的防范措施。


1、及时升级相关主机的补丁,尤其是 2019 年出现的 CVE-2019-0708 等一系列 RDP 漏洞。


2、设置足够强壮的登陆密码,并开启强制身份认证,避免黑客利用远程服务攻入。


结束语

网络安全与信息安全一直是需要重点关注的事情。过去几年,安全相关事件频频登上头条新闻,从医疗信息、账户凭证、企业电子邮件到企业内部敏感数据。为避免此类事件发生,企业或个人首先需要提高安全意识,其次采取恰当的安全手段进行防范。疫情当前,我们尤为不要放松警惕,特别是与医疗相关的关键领域。


面对此次攻击事件,InfoQ 也将持续关注后续事件发展情况,及时在评论区跟进动态,广大读者如有好的建议,欢迎评论告诉我们。


参考链接:


https://mp.weixin.qq.com/s/kLZUf44WmeS_Qnc90fWKNA


2020-02-05 14:328984

评论 1 条评论

发布
用户头像
趁火打劫 可恶!
2020-02-10 16:55
回复
没有更多了
发现更多内容

通过 Python FastAPI 开发一个快速的 Web API 项目

宇宙之一粟

Python Web框架 FastApi 11月月更

20款免费项目管理软件大盘点!你用过几款?

优秀

项目管理软件

量化合约对冲交易机器人app系统开发案例

开发微hkkf5566

类和动态内存分配

Maybe_fl

提速还能不掉点!深度解析 MegEngine 4 bits 量化开源实现

MegEngineBot

深度学习 开源 cuda MegEngine

Java --- SpringMVC的@RequestMapping注解

鸭鸭yyds

springmvc 11月日更 11月月更

Linux三剑客grep、sed、awk以及正则表达式

A-刘晨阳

Linux 运维 11月月更 三剑客

Linux磁盘管理

A-刘晨阳

Linux 运维 磁盘 磁盘分区 11月月更

企业如何正确使用低代码转型升级

力软低代码开发平台

盒子模型-css中的老生常谈

肥晨

11月月更 盒子模型 css盒子模型 css面试题

TOGAF企业架构框架-6架构治理和组织落地

Marvin Ma

TOGAF 架构治理 企业架构框架

MYSQL大法之慢SQL--COMMIT

小书童

MySQL 数据库 11月月更

Dubbo 可观测性实践之 Metrics 功能解析

阿里巴巴云原生

阿里云 开源 云原生 dubbo

重磅| 信创之路再加码,九科信息与中国长城完成兼容性测试

九科Ninetech

2022年10月中国汽车智能网联月度观察

易观分析

汽车 智能网联

软件测试面试真题 | 什么是PO设计模式?

测试人

软件测试 自动化测试 PO 测试开发 UI自动化测试

中国APM市场份额第一!博睿数据实力领跑

博睿数据

可观测性 IDC 博睿数据 ONE平台 智能运维AIOps

OpenMLDB BUG 悬赏令

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

Go 容器之队列的几种实现方式

宇宙之一粟

队列 数据结构与算法 Go 语言 11月月更

Sovit3D数字孪生智慧机场三维可视化云平台

数据可视化平台

物联网 智慧机场 机场三维可视化 数字孪生机场 机场数字化转型

性能优化-懒加载(图片 组件 路由)

肥晨

懒加载 11月月更 图片懒加载 路由懒加载 组件懒加载

OpenMLDB 新手宝典 开发者上手必读

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

Linux进程管理

A-刘晨阳

Linux 运维 进程 11月月更

G1 垃圾收集器深入剖析(图文超详解)

mikechen的互联网架构

Java 架构 面试 G1垃圾回收器 11月月更

Swagger-knife4j介绍

默默的成长

前端 swagger 11月月更

OpenMLDB 线上引擎资源需求预估模型,助你快速预估资源消耗

第四范式开发者社区

人工智能 机器学习 数据库 开源 特征

干货收藏|Clickhouse 常见问题及解决方案汇总

云智慧AIOps社区

MySQL 数据库 Clickhouse Data 故障处理

硬核技术助力提效,腾讯广告持续探索产学融合新航图

科技热闻

项目git-flow版本控制优化

Geek_pwdeic

git gitlab git-flow

六张图详解LinkedList 源码解析

Jeremy Lai

源码 linkedlist

技术使用点二

默默的成长

Vue 前端 11月月更

趁火打劫!印度APT组织对我国医疗机构发起定向攻击_AICon_陈思_InfoQ精选文章