南亚APT组织借新冠疫情对我国医疗机构发起定向攻击

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2020/02/05 21:55:29 854

近日,南亚APT组织利用肺炎疫情相关题材作为诱饵文档,通过邮件投递攻击,并诱导用户执行宏,下载后门文件并执行。
目前已知诱饵文档名如下:


  • 一、事件详情

首先,攻击者以邮件为投递方式,部分相关诱饵文档示例如:武汉旅行信息收集申请表.xlsm,并通过相关提示诱导受害者执行宏命令。

而宏代码如下:

这里值得一提的是:
攻击者其将关键数据存在worksheet里,worksheet被加密,宏代码里面使用key去解密然后取数据。
然而其用于解密数据的Key为:nhc_gover,而nhc正是中华人民共和国国家卫生健康委员会的英文缩写。
更为恐怖的是,一旦宏命令被执行,攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用scrobj.dll远程执行Sct文件,这是一种利用INF Script下载执行脚本的技术。
这里可以说的在细一些,Sct为一段JS脚本。

而JS脚本则会再次访问下载hxxp://45.xxx.xxx.xx/window.jpeg,并将其重命名为temp.exe,存放于用户的启动文件夹下,实现自启动驻留。

此次攻击所使用的后门程序与之前在南亚地区APT活动总结中已披露的已知的南亚组织专属后门cnc_client相似,通过进一步对二进制代码进行对比分析,其通讯格式功能等与cnc_client后门完全一致。可以确定,该攻击者为已披露的南亚组织。

为了进一步证实为南亚组织所为,请看下面的信息:

木马与服务器通信的URL格式与之前发现的完全一致。

通信过程中都采用了UUID作为标识符,通信的格式均为json格式。

木马能够从服务器接收的命令也和之前完全一致。分别为远程shell,上传文件,下载文件。
远程shell

上传文件

下载文件

我们已经完全确定此次攻击的幕后真凶就是南亚CNC APT组织。

 

  • 二、相关事件

无独有偶,在利用疫情对中国发动攻击上,南亚组织无所不用极其。
    2月2日,南亚组织研究人员对其于1月31日发表在bioRxiv上的有关新型冠状病毒来源于实验室的论文进行正式撤稿。该南亚组织的人员企图利用此次“疫情”制造一场生物“阴谋论”。

幸而我们的生物信息学家正努力用科学击败这场他国攻击我国的“阴谋”。

2月2日下午3时左右,中国科学院武汉病毒所研究员石正丽,就在自己个人微信朋友圈发文如下:



事实上,不止于此次南亚组织对我国发动猛烈攻击,早在2019年末时,在《年终盘点:南亚APT组织“群魔乱舞”,链条化攻击“环环相扣”》就指出,南亚地区APT组织一直活跃地发动攻击,其中就有不少起是南亚针对我国的。


 

  • 三、防范措施

目前的恶意文件样本显示带有破坏性(删除系统盘、注册表等)和后门性质(远控木马),建议提高警惕并安装和更新必要的杀毒软件,不要下载或打开文件名中带有:“武汉肺炎疫情”、“新型冠状病毒”等相关名称,但文件扩展名又为*.exe后缀,或相关名称的zip、rar等压缩包中为*.exe后缀的可执行文件。

国家卫生健康委员会办公厅近日更新了《新型冠状病毒感染的肺炎防控方案(第三版)》,对网络世界来说,对恶意文件特别是恶意病毒蠕虫的防控也有异曲同工之处,可以参考来看:

中华人民共和国国家卫生健康委员会 政策文件参考:

http://www.nhc.gov.cn/jkj/zcwj2/new_zcwj.shtml


推荐关注

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室