信息來源:中國青年網(wǎng)
中國網(wǎng)絡(luò)安全廠商安天科技集團(tuán)近日發(fā)布長篇分析報告《“幼象”組織在南亞地區(qū)的網(wǎng)絡(luò)攻擊活動分析》�,披露一個長期入侵南亞多國的印度黑客組織�����,該組織近期將攻擊目標(biāo)轉(zhuǎn)向攻擊中國�����。
根據(jù)安天科技集團(tuán)副總工程師李柏松介紹“該組織早期活動是在2017年�,當(dāng)時安天捕獲了了一批針對南亞地區(qū)國家政府�、軍事、國防等部門的規(guī)模性定向網(wǎng)絡(luò)攻擊�����。該組織有自己的一套相對獨立的攻擊資源和攻擊工具��,但當(dāng)時攻擊能力相對比較初級���,可能是一個新組建的攻擊團(tuán)隊,技術(shù)能力上尚不成熟����。因此將這個新的高級威脅組織命名‘幼象’�����?����!?
近5年以來����,該組織向南亞國家和中國發(fā)動了多各攻擊波次:
2017年中開始���,向巴基斯坦、斯里蘭卡等國家的軍隊��、政府機(jī)構(gòu)投遞針對性的自解壓攻擊文件�。
2017年底開始,向巴基斯坦�����、尼泊爾等國家的教育���、政府機(jī)構(gòu)投遞Office文檔攻擊文件。
2018年底開始�,向巴基斯坦等國家的軍隊投遞針對性的隔離網(wǎng)滲透木馬。
2019年中開始�����,向南亞眾多國家發(fā)起針對性的大規(guī)模釣魚網(wǎng)站攻擊���。
2019年底開始��,向巴基斯坦�����、斯里蘭卡等國家的軍隊投遞LNK類攻擊文件。
2020年底開始�,向尼泊爾等國家政治相關(guān)目標(biāo)投遞惡意的安卓木馬。
2021年中旬���,向中國的相關(guān)機(jī)構(gòu)進(jìn)行情報竊取的定向攻擊活動����。
本報告對2020年至今發(fā)現(xiàn)的幼象組織攻擊活動、手法和工具做一定程度的總結(jié)�����,整體活動的特征可簡要總結(jié)如下表:
在過去四年中���,‘幼象’攻擊活動的規(guī)模數(shù)量逐年倍增,攻擊手法和攻擊資源逐漸豐富���,攻擊目標(biāo)也從初期僅為南亞地區(qū)開始覆蓋更多的地區(qū)�����。2021年�,該組織開始向中國的相關(guān)機(jī)構(gòu)進(jìn)行情報竊取的定向攻擊活動�。該組織采取的攻擊方式包括搭建釣魚網(wǎng)站、使用惡意安卓應(yīng)用程序攻擊手機(jī)�,用Python等語言編寫的木馬竊取電腦上的各種文檔文件��、瀏覽器緩存密碼和其他一些主機(jī)系統(tǒng)環(huán)境信息�。
此次披露的文件中,最為重要的一點是:“幼象”攻擊者在2020-11-23至2020-11-24期間一共向國際公開的安全資源上傳了8個測試性的惡意文件�,來測試木馬逃逸殺毒軟件的能力,但也因此暴露了其所在位置��。安天CERT通過對攻擊者的載荷��、使用的C2等攻擊基礎(chǔ)設(shè)施等進(jìn)行關(guān)聯(lián)拓線����,確認(rèn)些測試文件與已知的‘幼象’樣本在代碼內(nèi)容上也存在高度同源�。并且通過資源檢索,至少一名樣本的上傳者來自印度德里��。
相對于“幼象”早期比較初級的攻擊活動���,如今該組織已成長為南亞地區(qū)最為活躍和成熟的攻擊組織��,已經(jīng)成為了南亞乃至整個亞太重要的網(wǎng)絡(luò)安全威脅��,從攻擊活躍的頻度來看�,目前已有替代同源的白象����、苦象組織的趨勢�����,未來很有可能成為南亞的主要攻擊組織,需要對其進(jìn)行重點跟蹤和關(guān)注���。從目前看到的攻擊裝備圖譜上看��,其攻擊載荷工具體系性不強(qiáng)��,技術(shù)棧相對龐雜混亂��,高度依賴社會工程學(xué)技巧��,尚未看到具備0DAY漏洞的挖掘和利用能力��,甚至很少看到對已知漏洞的使用。但這并不表明�����,幼象帶來的攻擊就是低成功率的��。這種攻擊能力一定真實反應(yīng)了被攻擊方真實的低水平防護(hù)和較弱的人員安全意識�。
李柏松指出“高級持續(xù)性威脅(APT)攻擊是由帶有政治經(jīng)濟(jì)背景的組織發(fā)動,面向高價值目標(biāo)定向發(fā)動的網(wǎng)路攻擊活動,其中持續(xù)性體現(xiàn)了攻擊方的戰(zhàn)略意圖和作業(yè)意志�����,是分析判斷APT攻擊的關(guān)鍵要素�。而從攻擊的高級性來看����,攻擊方并不需要絕對“高級”的攻擊技術(shù)�,只要能構(gòu)建出相對于防御水平包括意識短板的“位勢差”或與攻擊方脆弱性敞口碰撞點,就能形成有效的攻擊�����?����!啊?
李柏松說:“這種攻擊能頻繁奏效����,實際上真實體現(xiàn)了南亞國家、包括更多發(fā)展中國家真實的面臨的網(wǎng)絡(luò)安全風(fēng)險挑戰(zhàn)����。該組織攻擊目標(biāo)也從初期僅為南亞地區(qū)開始指向中國境內(nèi)��。這與2013年后南亞“白象”組織攻擊目標(biāo)重點逐漸從南亞地區(qū)遷移至中國有類似之處。我們必須保持高度警惕”
