印度新网攻,代号竟与中国有关!
经过长达一年半的跟踪分析,中国网安企业发现一支来自印度的APT(高级持续性网络攻击)组织针对巴基斯坦政府、军事机构发起新的攻击活动。该APT组织虽然来自印度,但其代号却是“ Confucius”(孔子)。
中国网络安全企业安天科技集团12日对《玉屿国际》记者表示,该组织来自印度,其攻击活动最早可追溯至2013年,其主要针对中国、巴基斯坦、孟加拉国等印度周边国家政府、军事、能源等领域开展以窃取敏感资料为目的的攻击活动。
有意思的是,国际安全厂商将该组织命名为“Confucius”。安天科技集团副总工程师李柏松表示,该攻击组织在攻击时用于伪装传递攻击指令和回连地址的页面中带有“Confucius says”字样,即“子曰”,因此被命名为“Confucius”,“这表明攻击者在持续攻击中国过程中,也对中国的文化有所研究。‘Confucius’擅长使用鱼叉式钓鱼邮件、水坑攻击以及钓鱼网站,配合独到的社会工程学手段对目标进行攻击。”
APT组织以获取政治、经济利益为出发点,窃取目标的核心资料,或者破坏对方关键基础设施,其攻击的影响不仅仅局限在虚拟的网络世界,物理世界也会受到影响。
据介绍,从2021年至今,安天CERT(安全研究与应急处理中心)在对来自南亚次大陆方向的攻击事件进行新一轮追踪、梳理时,发现“Confucius”组织针对巴基斯坦政府、军事机构的攻击活动。在此次攻击活动中,攻击者主要以巴基斯坦政府工作人员的名义向目标投递鱼叉式钓鱼邮件,钓鱼邮件的内容大多数与巴基斯坦政府有关,通过钓鱼邮件内容诱骗目标下载、打开嵌入恶意宏代码的文档,从而向目标机器植入开源木马QuasarRAT、自研C++后门木马、C#窃密木马以及JScript下载者木马,最终窃取情报。
“在跟踪过程中我们陆续捕获到‘Confucius’组织针对巴基斯坦进行攻击的样本文件,比如2021年6月份利用巴基斯坦军队牺牲者名单有关内容的恶意RTF文档进行攻击;2022年2月份利用巴基斯坦政府员工Covid-19疫苗接种状态表等有关内容的宏文档进行攻击。”李柏松称,攻击者在钓鱼邮件的正文中、附件PDF文件中嵌入了不同类型的恶意链接,当目标查阅钓鱼邮件后便会被攻击者精心设计的邮件正文、PDF文件内容诱骗,从而点击恶意链接下载具有恶意宏代码的文档。
此外,安天通过对本次捕获的“Confucius”组织恶意快捷方式样本进行全面解析,发现其与印度另一APT组织“SideWinder”进行了工具、代码共享。李柏松表示,“印度各大APT组织之间互相共享代码、工具的情况已经屡见不鲜。此前国外安全厂商也曾披露‘Confucius’组织、‘Urpage’组织以及‘白象’组织之间存在共享代码、共享资产的关系。”
当前,该起攻击活动已引起巴基斯坦相关政府部门注意,其中巴基斯坦国家电信和信息技术安全委员会(NTISB)已发出全国网络威胁预警,称攻击者正在向政府官员和公众发送模仿巴基斯坦总理办公室的虚假网络钓鱼电子邮件,因此要求政府官员和公众保持警惕,不要通过电子邮件或社交媒体链接提供任何信息。