在4月下旬至5月上旬印巴沖突期間���,瑞星威脅情報平臺揭露南亞知名APT組織 "蔓靈花"(Bitter)針對巴基斯坦的最新網(wǎng)絡(luò )攻擊���。APT組織偽裝成"巴基斯坦反恐部門(mén)"��,以《安全簡(jiǎn)要報告》(Security Brief Report)為主題向該國國家電信公司員工投遞釣魚(yú)郵件��,附件為偽造的IQY格式文件���,借此實(shí)施"病毒拼裝"攻擊�����,目標直指國家通信命脈�����。
攻擊者偽裝成巴反恐部門(mén)發(fā)起釣魚(yú)攻擊
攻擊者以 "巴基斯坦反恐部門(mén)" 名義發(fā)送郵件����,附件"Security Brief Report.iqy" 看似普通工作文檔�����,實(shí)則暗藏雙重攻擊詭計:
詭計一:IQY文件是Excel的Web查詢(xún)文件��,主要用于從互聯(lián)網(wǎng)或本地網(wǎng)絡(luò )獲取數據并導入Excel工作表中����,此次被植入黑客服務(wù)器鏈接����。用戶(hù)打開(kāi)文件時(shí)�,Excel會(huì )自動(dòng)下載 "碎片化病毒組件"—— 一個(gè)故意缺少可執行文件標識 "MZ 頭" 的批處理腳本���,因此能繞過(guò)安全軟件常規檢測�;
詭計二:腳本潛入電腦后��,通過(guò)本地程序將"碎片化病毒組件"拼合為完整程序 vcswin.exe 運行�����,整個(gè)過(guò)程利用系統特性實(shí)現隱蔽攻擊����。
遠控木馬讓電腦成黑客 "永不關(guān)機的監控室"
修復后的病毒程序同步完成兩項惡意操作:
l 長(cháng)期潛伏機制:下載gentwin.exe 修改系統注冊表����,創(chuàng )建 "開(kāi)機自啟" 后門(mén)�,確保病毒在電腦重啟后持續運行��;
l 全能型間諜工具:部署wmRAT遠控木馬�����,可遠程同步屏幕���、竊取文檔����、郵件�����、密碼等敏感信息�����,遠程操控刪除文件或截屏��,且指令經(jīng)過(guò)加密處理��,讓普通安全軟件難以識別�。
"蔓靈花":12年專(zhuān)業(yè)級"網(wǎng)絡(luò )間諜"
“蔓靈花”組織是一個(gè)具有濃厚政治背景的黑客組織����,其活動(dòng)至少可追溯至2013年��,長(cháng)期針對中國和巴基斯坦等國的政府部門(mén)��、能源�����、電力���、國防及軍工等高價(jià)值單位展開(kāi)網(wǎng)絡(luò )攻擊����。此次便偽裝成巴基斯坦反恐部門(mén)�,以低檢測率的IQY文件為初始攻擊載荷���,通過(guò)多階段下載惡意載荷的方式實(shí)施攻擊�,體現出APT攻擊強針對性��、高隱蔽性和間接攻擊等特點(diǎn)����。
四招防御指南:普通用戶(hù)如何對抗國家級攻擊�����?
瑞星安全專(zhuān)家表示���,瑞星 EDR(終端威脅檢測與響應系統)能夠對 “蔓靈花” 組織的攻擊過(guò)程進(jìn)行可視化呈現�����。依據進(jìn)程行為劃分危險等級��,其威脅可視化調查功能能夠完整還原攻擊鏈����,直觀(guān)展現黑客從投遞誘餌到植入木馬的完整攻擊路徑��。
由于A(yíng)PT組織常使用冷門(mén)技術(shù)隱蔽攻擊�����、實(shí)施長(cháng)期潛伏滲透���,因此瑞星安全專(zhuān)家建議:
1. 不打開(kāi)可疑文件�����。
不打開(kāi)未知來(lái)源的可疑的文件和郵件�����,防止社會(huì )工程學(xué)和釣魚(yú)攻擊�。
2. 部署EDR�����、NDR產(chǎn)品���。
利用威脅情報追溯威脅行為軌跡�,進(jìn)行威脅行為分析����,定位威脅源和目的����,追溯攻擊的手段和路徑�����,從源頭解決網(wǎng)絡(luò )威脅����,最大范圍內發(fā)現被攻擊的節點(diǎn)���,以便更快響應和處理�����。
3. 安裝有效的殺毒軟件��,攔截查殺惡意文檔和惡意程序�。
殺毒軟件可攔截惡意文檔和惡意程序����,如果用戶(hù)不小心下載了惡意文件����,殺毒軟件可攔截查殺�����,阻止病毒運行��,保護用戶(hù)的終端安全��。
4. 及時(shí)修補系統補丁和重要軟件的補丁�。
許多惡意軟件經(jīng)常使用已知的系統漏洞��、軟件漏洞來(lái)進(jìn)行傳播�����,及時(shí)安裝補丁將有效減少漏洞攻擊帶來(lái)的影響����。
政策與經(jīng)濟
京公網(wǎng)安備 11010802020613號
