瑞星獲取“響尾蛇”黑客組織對我國發(fā)起攻擊的證據

  • 人閱讀
  • 2024-06-17 11:22:29

  • 來源:硬派科技

  • 相關關鍵詞

近日,瑞星威脅情報平臺對2023年底SideWinder組織攻擊尼泊爾政府的事件進行了深入分析,發(fā)現了大量釣魚網站的源文件和惡意程序,得知SideWinder(又稱“響尾蛇”)組織對亞洲國家政府部門的釣魚攻擊占比高達40.9%。在這些攻擊中,瑞星特別發(fā)現了三個專門針對我國政府和企業(yè)的釣魚網站。盡管SideWinder組織對我國的攻擊并未成功,但這一發(fā)現仍揭示了中國已經成為該組織攻擊目標清單中的關鍵對象。

以竊密和間諜活動為目的的攻擊組織

瑞星安全專家介紹到,SideWinder組織又稱“響尾蛇”,是一支疑似來自印度的黑客組織。該組織活動最早可追溯到2012年,目標集中在中國、巴基斯坦、阿富汗等國家,主要針對政府、軍工、能源、科研等關乎國家安全和利益的關鍵領域,并且會對特定目標進行定向攻擊,以達到信息竊取和間諜活動的目的。

歷史攻擊事件

瑞星對SideWinder組織的活動進行了長期追蹤,從2019年起捕獲到多起APT攻擊事件:

2019年9月上旬,瑞星捕獲到兩起針對我國的APT攻擊事件,一起是偽裝成國防部某部門,向各國駐華使館武官發(fā)送虛假邀請函;另一起是向某科技有限公司駐外代表處發(fā)送虛假的安全和保密手冊。

2019年10月中旬,瑞星捕獲到三起針對國內政府企業(yè)發(fā)起的攻擊事件,一起為將偽裝的《中國人民解放軍文職人員條例》的文檔投放至國家政府部門;另一起則向國內某國防科研企業(yè)發(fā)送帶有惡意軟件的虛假管理文件;還有一起針對國防及軍事等相關部門,向其發(fā)送虛假的“第九屆北京香山論壇會議”議程。

2019年10月下旬,瑞星捕獲到針對巴基斯坦海軍的攻擊事件,該組織通過偽裝成“巴基斯坦海軍公共關系總局發(fā)布的印度與中國領導人會談新聞稿”,向目標進行釣魚郵件攻擊。

2023年12月下旬,瑞星捕獲到針對尼泊爾政府的攻擊事件,該組織將仿造的“尼泊爾總理普什帕·卡邁勒·達哈爾行程信息”通過郵件發(fā)送給尼泊爾政府機構,以騙取相關人員的信任。

尼泊爾和阿富汗被攻擊最多

瑞星威脅情報平臺在深入分析了2023年的攻擊事件后,獲得了SideWinder組織控制的其中一臺服務器的SSH登錄憑據,進而不僅發(fā)現了大量釣魚網站的源文件及部分惡意程序,還發(fā)現了部分服務端組件以及服務端為每個獨立的受害者創(chuàng)建的文件/文件夾等數據。

在分析了服務器上所有的釣魚網站源碼后,瑞星了解到SideWinder組織主要攻擊的國家均為亞洲國家,而這臺服務器的統(tǒng)計數據里尼泊爾和阿富汗占比最高,分別為43.8%和32.8%,我國占比為2.2%。

按行業(yè)分類,SideWinder組織的目標行業(yè)以政府和國防/軍事為主,占比分別為40.9%和18.3%。

瑞星安全專家對釣魚網站的數據進行了分析和篩選,發(fā)現該服務器上尼泊爾和阿富汗這兩個國家提交的登錄憑據占比最高,分別為74.7%和17.3%。因此也可以看出,在該服務器中并未有我國提交的信息記錄。

針對我國的三個釣魚網站

從上面的數據中可以看到,在捕獲到的服務器中,有三個針對我國的釣魚網站,其中有兩個釣魚網站仿冒了我國的政府部門,還有一個釣魚網站仿冒了北京某咨詢公司的管理后臺登錄頁面。

由此可見,SideWinder組織對我國的攻擊也主要集中在政府部門,其目的是獲得政府相關人員的資料和信息,進而竊取我國重要的機密數據,進行間諜活動。

最常用的攻擊手法是釣魚郵件和漏洞

瑞星安全專家表示,SideWinder組織常用到的攻擊手法是魚叉式釣魚郵件,以仿造的政府或軍事相關文件作為誘餌,通過郵件進行發(fā)送,誘導目標點擊,從而激活遠控后門,達到盜取政府或軍事機密信息的目的。同時,該組織還會頻繁地利用漏洞進行攻擊,比如在CVE-2017-11882或CVE-2017-0199漏洞中嵌入惡意程序,利用這些漏洞執(zhí)行惡意程序,來下載并執(zhí)行遠控程序。

不僅如此,SideWinder組織還會使用由Nim語言編寫的后門病毒,因為該語言能夠增加安全人員的分析難度,所以降低了安全軟件的檢測率。另外,該組織還會使用DLL側加載技術,利用合法的系統(tǒng)進程來加載偽裝的惡意DLL,以此來躲避防御檢測。

面對該組織的攻擊要如何防范

鑒于SideWinder組織已對我國政府和企業(yè)的網絡安全構成嚴重威脅,瑞星公司建議相關部門和企業(yè)用戶提高防范,做到以下幾點:

提高安全意識:SideWinder組織在特定目標攻擊方面,主要采用“水坑攻擊”和“魚叉攻擊”,都屬于網絡釣魚范疇,因此足夠的網絡安全意識和危機感很重要,不要打開未知來源的可疑的文件和郵件,能夠防止社會工程學和釣魚攻擊。

部署安全有效的產品:SideWinder組織會在某些攻擊鏈條中使用一些已知的“LOLBAS”手段,其核心就是充分利用操作系統(tǒng)自身的應用程序來躲避傳統(tǒng)的安全軟件的檢測。針對此手法,我國目前的安全軟件(反病毒、EDR)大多都進行了專門的針對性處理。

及時修補系統(tǒng)補丁和重要軟件的補?。河捎赟ideWinder組織擅長利用漏洞進行攻擊,因此政府和企業(yè)要確保所有Office軟件及其組件都更新到最新版本,修復已知的安全漏洞。

(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )