当前位置:网站首页 > 网络安全培训 > 正文

近期使用新冠疫情(COVID-19)为诱饵的APT攻击活动汇总

freebuffreebuf 2020-03-28 463 0

本文来源:腾讯电脑管家

一、概述 

目前,由新型冠状病毒引起的肺炎疫情(COVID-19)在全球蔓延,已有190个国家存在确诊病例,全球确诊人数已经超过43万人,死亡病例超过1.9万。中国大陆已基本控制住疫情,但在意大利、西班牙、美国等发达国家疫情仍处于爆发期,世界卫生组织已将疫情的全球风险级别确定为“非常高”。

而随着新冠病毒疫情(COVID-19)在全球蔓延,以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后,已检测到多起以新冠病毒疫情为主题的攻击活动。

攻击者大多以投递邮件的方式,构造诱饵文件欺骗用户点击,恶意文件类型多种多样,覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击的背景也包括具有国家背景的专业APT组织和普通黑产组织。本文对近期发现的以新冠病毒疫情为诱饵的攻击活动加以汇总,供大家参考。在此提醒广大政企单位和个人用户,在做好疫情防控的同时,也要做好网络安全的防护工作。

二、近期活跃的APT攻击及其他黑产

1.  具有国家背景的专业APT攻击

1)  海莲花(APT32)组织

海莲花,又称APT32、OceanLotus,被认为是具有越南国家背景的攻击组织。该组织自发现以来,一直针对中国的政府部门、国企等目标进行攻击活动,为近年来对中国大陆进行网络攻击活动最频繁的APT组织。腾讯安全威胁情报中心在2019年也多次曝光了该组织的攻击活动。

自新冠疫情爆发以来,该组织正变本加厉对中国大陆相关目标进行网络攻击活动。攻击方式依然采用鱼叉邮件攻击,钓鱼邮件同样使用跟新冠病毒疫情相关的诱饵文档。如:

攻击诱饵包括lnk文件、白加黑攻击方式等:

技术细节跟之前曝光的变化不大,本文不再过多描述。

除了投递恶意木马外,海莲花还是用无附件攻击,用来探查用户的一些信息:

也有附件和探针一起的:

2)  蔓灵花(BITTER)组织

蔓灵花也是对中国大陆进行攻击的比较频繁的一个攻击组织,其目标包括外交部门,军工、核能等重点企业。

在疫情爆发后,该组织同样采用了跟疫情相关的诱饵来对一些目标进行攻击:

最终释放的特种木马为2019年才开始采用的C#木马:

3)  Kimsuky组织

Kimsuky组织被认为是来自东亚某国的攻击组织,该组织一直针对韩国政府部门、大学教授等目标进行攻击活动。Kimsuky组织为韩国安全厂商命名,腾讯安全威胁情报中心在2018、2019均披露过的Hermit(隐士)同属该攻击组织。

在2020年2月底到3月初期,韩国是除中国大陆外受疫情影响最严重的国家。于是Kimsuky十分活跃,开始利用疫情相关的诱饵,对韩国目标进行攻击活动。同时我们发现,该组织还同时具备多平台的攻击能力。

此外,该组织还针对MacOS进行攻击:

最终的恶意文件使用python编写,用来收集用户信息,和Cfont-size:1.5em">IOCs

MD5

f6fe2b2ce809c317c6b01dfbde4a16c7 

0e5f284a3cad8da4e4a0c3ae8c9faa9d  

aa5c9ab5a35ec7337cab41b202267ab5  

d739f10933c11bd6bd9677f91893986c   

d9ce6de8b282b105145a13fbcea24d87

a9dac36efd7c99dc5ef8e1bf24c2d747

a4388c4d0588cd3d8a607594347663e0

1b6d8837c21093e4b1c92d5d98a40ed4

31f654dfaa11732a10e774085466c2f6

0573214d694922449342c48810dabb5a

501b86caaa8399d508a30cdb07c78453

e96d9367ea326fdf6e6e65a5256e3e54

da44fd9c13eb1e856b54e0c4fdb44cc7

e074c234858d890502c7bb6905f0716e

e262407a5502fa5607ad3b709a73a2e0

ce15cae61c8da275dba979e407802dad

b7790bf4bcb84ddb08515f3a78136c84

379f25610116f44c8baa7cb9491a510d

7a1288c7be386c99fad964dbd068964f

258ed03a6e4d9012f8102c635a5e3dcd

f272b1b21a74f74d5455dd792baa87e1

域名:

m.topiccore.com

libjs.inquirerjs.com

vitlescaux.com

vnext.mireene.com

crphone.mireene.com

new.915yzt.cn

primecaviar.com

bralibuda.com

dysoool.com

m0bile.net

fuly-lucky.com

IP:

63.250.38.240

107.175.64.209

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

转载请注明来自网盾网络安全培训,本文标题:《近期使用新冠疫情(COVID-19)为诱饵的APT攻击活动汇总》

标签:“海莲花”APT32疫情

猜你喜欢

关于我

欢迎关注微信公众号

关于我们

网络安全培训,黑客培训,渗透培训,ctf,攻防

标签列表

Powered By Z-BlogPHP 1.7.3