瑞星揭露东南亚黑客组织“白象”针对我国航空领域的网络攻击
近日,瑞星威胁情报平台发现,臭名昭著的东南亚黑客组织“白象”再次将魔爪伸向了我国,并将目标锁定在航空领域。该组织通过精心伪装的钓鱼邮件,向国内航空科研企业和院校发起精准攻击,企图控制并窃取核心数据,对我国航空产业造成严重威胁。瑞星安全研究院对“白象”组织展开了深入追踪和详细分析。借助瑞星终端威胁检测与响应系统(EDR),广大用户可以全面溯源并梳理攻击流程,精准识别恶意代码的每个环节,查看完整攻击链,从而制定有效的防范策略,遏制类似攻击。
“白象”组织,也被称作Patchwork、摩诃草、APT-Q-36、Dropping Elephant,自2009年起便一直活跃。该组织疑似为具有南亚政府背景,专注于对中国、巴基斯坦、孟加拉国亚洲国家的关键行业发起网络攻击,近期更是频繁地将目标对准我国,企图渗透能源、航空、科研教育等关键领域,对这些核心部门的安全造成了严重威胁。
在此次攻击中,该组织向目标发送了伪装成PDF格式的恶意文件,诱导用户下载并打开名为 “第七届COMAC国际科技创新周简介”的诱饵文档,以及采用Rust语言编写的Shellcode加载器。恶意文件一旦被打开,隐藏的恶意代码就会被激活,在受害者的设备上执行一系列恶意操作,最终实现远程控制并窃取敏感数据。
瑞星安全专家分析发现,“白象”组织在此次攻击中表现出了更强的技术实力,该组织不再依赖第三方远控工具,而是转向使用自制的恶意程序BADNEWS。该恶意程序在保留远程控制功能的同时,还增加一个新的数据传输格式,使用了Base64和AES-CBC-128结合的加密方式,使得传输的数据不会被轻易解读,还能确保数据在不同环境和平台间的安全和完整性。
由于“白象”组织在最近的几次攻击中,定向针对我国能源、航空、科研教育等核心领域,且不断开发新的攻击武器,对国家安全造成较大威胁,因此相关行业要提高警惕,做好以下防范措施: 1. 不打开可疑文件。不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。 2. 部署EDR、NDR产品。利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。 3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。 杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。 4. 及时修补系统补丁和重要软件的补丁。许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。
信息来源:https://mp.weixin.qq.com/s/0ZDuKoHdQLI1WTp6Z5lvZw
页:
[1]