共同抗“疫”下的趁人之危-南亚APT组织对我国重点单位机构持续攻击
The following article is from 安恒信息应急响应中心 Author 猎影
现阶段,正是国家众志成城、共同抗“疫”之际,每天都有很多令人感动的事情发生,无论是在重点疫区或当地一线抗疫的医疗人员、军人、警察,还是不远万里“逆行”奔赴疫区支援的后援团队,无论是捐助善款、捐助物资的慈善民众和企业家还是出力建设医疗设施、运输物资的工人朋友,还有海内外华人华侨同胞、国际友人、伙伴国家提供大力的支持和帮助。然而,在这个时刻,还有许多境内外黑客组织和团伙仍对我国虎视眈眈。如南亚APT组织通过借助疫情主题对我国重点单位及机构发起攻击。
南亚APT组织伪装为我国国家卫生健康委员会以疫情背景为话题对我国重点医疗工作领域展开攻击。攻击使用的伪装域名为nhc-gov[.]com,通过该域名可以下载到投递的恶意文档,如:
武汉旅行信息收集申请表.xlsm(http://nhc-gov[.]com/form.html?OZBTg_TFORM)
卫生部指令.docx(http://nhc-gov[.]com/h_879834932/卫生部指令.docx)。
恶意文档最终会下载并执行pdb为CnC_Client的后门程序window.jpeg、submit_details.exe。
样本能够上传信息,获取指令并执行等。
在分析过程中通过关联分析,我们又发现了一些样本和域名,也似为该组织所有。
如moe-cn[.]org,针对性的模仿我国教育部域名。
chinadaily-news[.]com,针对性的模仿中国日报网域名,
与上述域名同ip下还发现有域名:
message-cmbchina[.]com,针对性的模仿招商银行信息发送相关的域名:
等。
通过对部分样本编译时间的整理,可以发现该组织在19年后半年就已经开始持续进行攻击。而近期时间段,正是疫情时期,该APT组织以疫情等题材展开攻击活动。如此做法,令人可恶。
正值疫情期间,有许许多多可爱的人冲在第一线,在国家需要的时刻,奋不顾身,看着他们伟岸或美丽的身影,是值得敬佩和学习的。在这个团结的时刻,有太多的感动,在这个信息快速传递的年代,让我们看到许许多多做了好事而不愿留名的人,让我们看到了他们的善良。记得有一个视频中的老奶奶说的“这是我自己的钱,我应该自己做主,这是我的思想,一定要捐这个钱,一分钱也是帮着国家,帮着人民,这个就是力量,不叫捐款”,还有老奶奶写到:“这是我们的一点小心意,有国才有家!”,有太多这样令人泪目的例子,感动中国,感动常在。还有10天建成“火神山”、“雷神山”医院,再一次让世界看到什么是“中国速度”。
网络安全也是国家安全不可分割的一部分,我们作为网络安全的从业者,虽不能在一线和疫情争分夺秒,虽然可能我们的力量是卑微的,但仍想在网络安全事业上、在自己的岗位上尽自己的一点绵薄之力。
祖国强则人民强!
加油中国!为祖国自豪!
IOC:
Hash:
3519b57181da2548b566d3c49f2bae18
2a326cd44ed71625fd1ec2f2623cd2e6
b08dc707dcbc1604cfd73b97dc91a44c
21b837f22afa8d9ca85368c69025a9f4
78359730705d155d5c6928586d53a68e
fbef418eaa9fa902c10f06798ca987a4
22ef24095052711a74a3aa86dbb9f4dc
1d878738493685ae9dcbd133f1e421ce
25fcc1c3b33412c337c2932d667f796b
Domian:
nhc-gov[.]com
moe-cn[.]org
chinadaily-news[.]com
message-cmbchina[.]com
Ip:
94.140.114[.]136
45.138.172[.]168
45.153.184[.]67
185.193.38[.]24
185.61.148[.]223
185.82.126[.]71
94.140.125[.]177
注:本文由E安全编译报道,转载请注原文地址 https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!