菲律宾太阳娱乐网138登入 > 动态 > 网络黑客最新资讯 > 正文

入侵中国长达 3 个月,越南黑客组织欲窃取新冠肺炎情报

2020-04-28 13:43 · 稿源:InfoQ公众号

声明:本文来自于微信公众号InfoQ(ID:infoqchina),作者:万佳,授权站长之家转载发布。

近日,FireEye 发布了一份研究报告,报告称:为收集 COVID-19(新型冠状病毒肺炎)的相关情报,至少从 2020 年 1 月至 4 月,越南黑客组织 APT32 针对中国目标开展持续的入侵活动。

据悉,黑客组织将钓鱼信息发送给中国应急管理部和武汉省政府,试图让对方“中招”,从而获取 COVID-19 的相关情报。

这次长达至少 3 个月的入侵活动,让越南黑客组织 APT32 再次进入人们的视野。

APT32 的真面目

2017 年,FireEye 发布博客文章,揭露了黑客组织 APT32 的相关信息。博客文章称“至少从 2014 年以来,黑客组织 APT32 专门以在越南制造业、消费品和酒店行业有既得利益的外国企业为攻击目标。并且,有迹象表明 APT32 正在瞄准周边的网络安全和技术基础设施公司。”

2015 年 5 月底,360APT 团队在技术博客文章《数字海洋的游猎者》中揭开了 APT32 的真面目。

博客文章披露:2012 年 4 月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。

该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。

鱼叉攻击:与普通的邮件钓鱼攻击不同,鱼叉攻击是一种较为高级的网络钓鱼攻击手法。它是一种借助构造特定主题和内容的邮件及带有恶意程序的附件,以吸引特定目标下载并打开附件的邮件钓鱼攻击行为。水坑(Watering Hole)攻击:攻击者首先通过侦察追踪,确定特定攻击目标经常访问或信任的网站,利用网站的弱点在其中植入攻击代码,使被攻击者访问网站时终端会被植入恶意程序或者直接被盗取个人重要信息,以达到入侵目标组织的目的。

根据 APT32 的某些攻击特点,360APT 团队将其命名为 OceanLotus,即海莲花。

据悉,海莲花发动的 APT 攻击,攻击周期长达 3 年之久,攻击地域遍布国内 29 个省级行政区和境外的 36 个国家,被黑网站多达十几个。并且,博客文章还进一步揭示:在这 3 年多的时间里,海莲花先后使用至少 4 种不同程序形态、不同编码风格和不同攻击原理的木马程序,恶意服务器遍布全球 13 个国家,注册的已知域名多达 35 个。

基于时间响应调查、产品检测和情报观察以及相关运营商的其他出版物,FireEye 评估 APT32 是与越南政府利益相一致的网络间谍组织。

COVID-19 期间,APT32 针对中国的持续入侵

据 FireEye 披露,在 COVID-19 发生后,APT32 针对中国的第一起入侵事件发生于 2020 年 1 月 6 日。通过利用 lijianxiang1870@163[.]com 的发件人地址和第一期办公设备招标结果报告的邮件主题,APT32 向中国应急管理部发送了带嵌入式跟踪链接的电子邮件。

如果受害者打开恶意链接,那么其电子邮件地址和代码将被发送给攻击者。如下图:

发送给中国应急管理部的钓鱼邮件

此外,FireEye 旗下的 Mandiant 威胁情报还发现以中国武汉省政府为目标的另外的跟踪 URLs,如下所示:

  • libjs.inquirerjs[.]com/script/@wuhan.gov.cn.png

  • libjs.inquirerjs[.]com/script/@chinasafety.gov.cn.png

  • m.topiccore[.]com/script/@chinasafety.gov.cn.png

  • m.topiccore[.]com/script/@wuhan.gov.cn.png

  • libjs.inquirerjs[.]com/script/@126.com.png

据悉,libjs.inquirerjs[.]com 域名去年 12 月被当作受控域名,用来发起 METALJACK 钓鱼活动,而攻击者的潜在目标就是东南亚国家。

FireEye 表示,APT32 针对中国的目标可能使用了以 COVID-19 为主题的恶意附件。报告指出,“虽然没有发现完整的执行链,但是我们发现一个 METALJACK 加载器。它在启动有效载荷时会显示一个 COVID-19 为标题的中文诱饵文档。”

当 METALJACK 加载 krpt.dll 程序时,可能调用导出“_force_link_krpt”。加载程序会先执行一个 COVID 为主题的 RTF 文件(嵌入的资源之一),然后向受害者显示内容并将文档保存到%TEMP%。

下面是诱饵文档,其标题是“冠状病毒实时更新:中国正在追踪来自湖北的旅行者”,它向受害者展示模仿自《纽约时报》的文章。

据了解,该恶意软件还会在额外资源 MD5(a4808a329b071a1a37b8d03b1305b0cb)中加载 shellcode,其中包含 METALJACK 有效载荷。Shellcode 通过执行系统调查收集受害者的计算机名和用户名,然后使用 libjs.inquirerjs [.] com 将这些值附加到 URL 字符串,再尝试调出 URL。如果调用成功,恶意软件就会将 METALJACK 有效载荷加载到内存中。最后,攻击者使用 vitlescaux[.]com 进行命令和控制。

不过,在 APT 的活动归因上,越南外交部发言人吴全胜在 4 月 23 日否认相关指控,表示“越南禁止一切形式的网络攻击,这类行动应当予以谴责,并严格依法处理。”

FireEye 总结道,针对中国的入侵事件和其他公开报道的攻击活动,只是全球不断增加且与 COVID-19 危机相关的网络间谍活动一部分,“处于绝望中的国家试图寻找相应的解决方案和非公开信息”。

COVID-19 相关的攻击增长 300 倍

自新型冠状病毒肺炎发生以来,网络攻击活动不断增加,而 APT32 入侵中国只是众多攻击活动之一。

此前,谷歌宣布每天阻止 1800 万针对 Gmail 用户的以 COVID-19 为主题的恶意电子邮件。

近日,网络安全公司 Zscaler 的研究者发现,与 2020 年初相比,3 月份 COVID-19 为主题的攻击活动增长 30000%。

Zscaler 在博客中写道,“一月份,我们看到(和阻止)了 1200 起攻击,而三月份,我们观察到 380000 起。从一月以来,钓鱼、恶意网站和以远程用户为目标的恶意活动增长 30000%。”

具体而言,一月份,该公司观察到 1200 起攻击活动;二月份,攻击活动上升至 10000 起;三月份,则有高达 380000 起攻击活动。同时,针对远程企业用户的钓鱼活动增长 85%,恶意网站增长 25%,以企业用户为目标的威胁则增长 17%。

针对上述攻击活动, Zscaler 给出了一些建议:

  • 从官方媒体或正规渠道获取 COVID-19 的相关信息;

  • 不要打开未知来源的陌生链接或附件;

  • 确保使用双因素认证(2FA);

  • 及时给操作系统打补丁和进行安全更新;

  • 针对任何财务交易请先激活 SMS/email 通知;

  • 提防基于 email 的紧急资金请求

  • 大家在看
  • 相关推荐
  • 新浪新闻疫情报道获武汉市肺炎疫情防控指挥部感谢

    近日,新浪收到了来自中共武汉市委宣传部、武汉市新冠肺炎疫情防控指挥部的感谢信。感谢信中对新浪各大平台“武汉战疫”报道做出了肯定,并对新浪营造强信心、暖人心、聚民心的良好舆论氛围表示感谢。 疫情发生后,新浪成为民众获取权威疫情报道的首选平台。新浪新闻客户端、手机新浪网上线“聚焦新型冠状病毒肺炎疫情”专题,实时聚合官方信息、引导市民正确防护、疏导网民情绪、澄清网络谣言。另外,新浪新闻客户端、手机新浪网

  • 腾讯上线国际版“肺炎自筛工具”

    据腾讯科技报道,近日,腾讯“新冠肺炎自筛工具”国际版(COVID-19 Symptoms Self-checker)已在腾讯“Together We Can”全球战“疫”信息平台正式面向全球用户上线。该工具采用全英文界面,通过智能对话和AI引擎,让海外用户更好评估个人风险,获取更清晰、更科学、个性化的疫情防护指引。

  • 快商通肺炎咨询机器人入选工信部人工智能支撑疫情防控平台

    新冠肺炎疫情,是新中国成立以来,发生的传播速度最快、感染范围最广、防控难度最大的一次重大突发公共卫生事件。而要战胜疫情,我们最有力的武器就是科技。2月4日,工业和信息化部科技司发布了《充分发挥人工智能赋能效用 协力抗击新型冠状病毒感染的肺炎疫情倡议书》。倡议人工智能相关学(协)会、联盟、企事业单位进一步发挥人工智能赋能效用,组织科研和生产力量,把加快有效支撑疫情防控的相关产品攻关和应用作为优先工作。积?

  • 三星电子芯片工厂出现首例肺炎病例

    据国外媒体报道,三星电子周二表示,该公司在韩国的一家芯片工厂的一名员工已确诊新冠肺炎,不过,工厂生产未受影响。

  • 抗击疫情 健合公益助天下

    当前,新冠肺炎疫情在中国已得到有效控制,而在欧洲等境外的多国却陆续响起了一颗颗响雷,疫情多点爆发、迅速蔓延,局势依旧十分严峻。正在这紧要时期,健合集团第一时间发起抗疫驰援行动,迅速联手可靠护理等合作伙伴,召集上下游资源企业,驰援受新冠肺炎疫情影响较严重国家。截止目前,健合集团已面向国内外总共发起了 8 次抗疫驰援行动,累计捐款捐物超 1000 万元人民币。据了解,自 2 月国内新冠疫情发生时,健合集团已针对欧

  • 影像AI公司汇医慧影被黑客入侵 研究成果被公开出售

    汇医慧影的过去两个月研发的新冠AI辅助系统,和积累的“新冠训练数据”被黑客窃取。正在以 4 比特币的价格公开出售,接近于 18 万人民币。据黑客对外发布的帖子声称,此次出售的数据具体包括150MB的新冠病毒实验室研究成果、1GB技术相关内容,以及检测技术源代码,还有1.5 MB用户数据。

  • 星巴克回应员工确诊肺炎:该门店已关闭消毒

    昨日晚间,针对“员工确诊新冠”一事,星巴克回应称,该员工已入院进行隔离治疗,该门店已于第一时间关店进行全面消毒。鉴于目前的抗疫形势,广州所有门店已经全部升级为一级防护措施,好世界广场附近附近的门店,将只提供专星送和啡快,最大限度地保护伙伴和顾客的安全和健康。

  • 全球肺炎确诊过百万,华为云启动全球抗疫行动

    4 月 3 日,华为云宣布启动全球抗疫行动,免费开放AI医疗服务和相关云服务,同时面向全球招募伙伴共同科技抗疫。截至北京时间 4 月 3 日,美国约翰斯·霍普金斯大学数据显示,全球累计新冠肺炎确诊病例超 100 万例,死亡病例超 5 万例。这并不是 100 万人患病,而是 1 个人患病,这件事发生了 100 万次。目睹一切,中国政府纷纷向世界各国提供物资、人员、经验驰援,国内民间组织、科技企业也纷纷向各国伸出援手。华为云也是科技企

  • 疫情期间SAS免费开放在线学习资源

    免费学习资源包括SAS数据科学学院、SAS学习订阅、客户智能资源等 中国,北京 2020 年 4 月-- 为满足分析技术学习者和专业人员在新冠病毒疫情期间居家学习、工作的需求,SAS推出了灵活适用的免费学习资源。从短视频到交互式在线课程,SAS?培训资源引导初学者学习掌握编程或统计知识,进而获得有价值的行业证书,例如SAS人工智能和机器学习认证证书。 “在新型冠状病毒流行期间,SAS在帮助用户和学习者应对工作、生活中所面临的前所

  • 亚马逊证实首位员工死于肺炎 为加州一名运营经理

    美国当地时间4月14日,电商巨头亚马逊确认加尼福尼亚州霍桑市工厂的一名运营经理于 3 月 31 日死于新冠,这是亚马逊已知的首位死于新冠的员工。

  • 互联网之父确诊肺炎 对美国防疫措施不满

    谷歌研究副总裁、互联网主要创造者之一温特·瑟夫(Vint Cerf)在Twitter上表示,他的新型冠状病毒检测呈阳性。他表示目前正在康复中,建议去听听约翰·奥利弗对我们国家目前为止的反应有什么看法。其在节目中对美国应对新型冠状病毒的措施表示非常不满。

  • 苹果注册 AppleCoronavirus.com 域名,或用于追踪疫情

    苹果已经在上周五拥有了该域名。虽然该域名目前并没有指向一个活动的网站,但同一天苹果和谷歌宣布将帮助创建 COVID-19 接触追踪技术,两家公司将合作提供工具,以帮助追踪新冠病毒的传播。

  • 苹果注册AppleCoronavirus.com域名 或用于追踪疫情

    援引外媒MacRumors报道,通过查询WHOIS记录信息显示苹果近期注册了域名AppleCoronavirus.com。苹果已经在上周五拿到了该域名。虽然该域名目前并没有指向一个活跃的网站,但同一天苹果和谷歌宣布帮助创建COVID- 19 接触追踪技术,帮助政府和卫生机构减少病毒在全球范围内的传播。

  • Android和iOS合体!设备互通细节:基于蓝牙 匿名追踪肺炎患者

    据美国约翰斯·霍普金斯大学新冠肺炎疫情统计数据显示,美国累计确诊 682619 例,与 6 时 30 分数据相比,增加了 104777 例,而全球新冠肺炎确诊病例累计破191. 88 万例。

  • IDC:受疫情影响 2020年全球IT支出将下降2.7%

    4 月 26 日,国际数据公司(IDC)预测,由于新冠疫情造成的经济影响,导致 2020 年全球IT支出将下降2.7%。尽管各行各业均受到全球经济衰退的冲击,IT支出削减幅度仍将呈现行业差异。在《全球ICT支出指南:行业与企业规模》特刊的第一期中,IDC从行业层面评估了新冠疫情对IT支出的影响。

  • 尽管受疫情影响,Airbnb正筹集10亿美元资金

    尽管新冠病毒危机对旅游业和酒店业的打击尤其严重,Airbnb仍正在筹集 10 亿美元资金。Airbnb在一份新闻稿中表示,私人股权投资公司银湖投资和Sixth Street Partners)将投资 10 亿美元,以支持Airbnb正在进行的长期投资工作。Airbnb没有披露最新估值,据知情人士透露, 3 月初,该公司将内部估值从 2017 年的 310 亿美元下调至 260 亿美元。

  • 腾讯经营范围新增医疗器械 助力抗击疫情

    4 月 1 日,腾讯科技(深圳)有限公司经营范围发生变更,新增一类医疗器械销售;二类医疗器械销售、国内贸易;从事货物及技术进出口(不含分销及国家专营、专控、专卖商品) 等。

  • 瑞银信防控肺炎公益行 侠之大者为国为民

    自疫情爆发以来,中国人民上下一心,共同“抗疫”,在这里面,众多有社会责任心的企业以各自不同的方式投入这次没有硝烟的“战争”。近日,由深圳瑞银信信息技术有限公司捐赠的爱心防疫物资送达晨光脑瘫儿康复中心孩子们手中。这是新冠疫情期间该康复中心收到的首批爱心企业物资捐赠。防疫落到实处,爱心筑起防线北京市朝阳区晨光脑瘫儿童康复中心是一所主要服务于0- 18 岁脑瘫孩子的非营利福利性机构,主要为脑瘫孩子提供康复训练

  • 互联网之父温特·瑟夫确诊肺炎 ,担任谷歌公司副总裁

    3月31日,谷歌公司副总裁兼首席互联网专家、互联网主要创造者之一温特·瑟夫(Vint Cerf)在推特上表示,他的新型冠状病毒检测呈阳性。瑟夫被称为“互联网之父”,在谷歌的工作主要是作为互联网的传道者,并帮助立法者了解有关互联网的问题。

  • NASA局长:疫情和技术故障不影响SpaceX首次载人试飞计划

    美国宇航局(NASA)局长吉姆·布里登斯廷表示,他“相当有信心”,宇航员可以在 5 月底或 6 月初乘坐SpaceX的载人龙飞船前往国际空间站,目前正在等待最后的降落伞测试、数据审查,新型冠状病毒疫情并没有对发射计划造成重大影响。

  • 参与评论

热文

  • 3 天
  • 7天
www.88sb.com 申博太阳城直营网 www.87msc.com 申博138介绍人直营网 菲律宾太阳网上娱乐登入 申博注册登入
申博游戏桌面下载官网 www.87msc.com 申博下载中心直营网 www.516sun.com 申博手机版下载客户端 www.tyc599.com
sun138.comwww 申博棋牌游戏直营网 太阳城在线注册登入 申博网络游戏直营网 www.tyc88.com 申博桌面安装版手机网页版