4月22日，F(xiàn)ireye發(fā)布報(bào)告稱：至少?gòu)?020年1月至2020年4月，越南黑客組織APT32（OceanLotus Group）針對(duì)我國(guó)開(kāi)展持續(xù)入侵活動(dòng)，試圖收集COVID-19相關(guān)情報(bào)。

APT32一直以來(lái)都以東南亞為攻擊目標(biāo)。根據(jù)Fireeye過(guò)去的披露，APT32僅2016年針對(duì)中國(guó)服務(wù)業(yè)發(fā)起攻擊。時(shí)隔4年再將目標(biāo)對(duì)準(zhǔn)中國(guó)，與新冠疫情離不開(kāi)關(guān)系。因此，此次至少長(zhǎng)達(dá)3個(gè)月的入侵或可以理解為針對(duì)新冠危機(jī)的全球網(wǎng)絡(luò)間諜活動(dòng)的一部分，意圖竊取疫情解決方案和相關(guān)非公開(kāi)信息。

APT32過(guò)往活動(dòng)

該組織通過(guò)魚叉式網(wǎng)絡(luò)釣魚的方式，發(fā)送郵件至中國(guó)緊急情況管理部以及武漢市政府。

目前已知的第一個(gè)實(shí)例發(fā)生在2020年1月6日，APT32向我國(guó)應(yīng)急管理部發(fā)送了帶有嵌入式跟蹤鏈接（圖1）的電子郵件，發(fā)件人地址為lijianxiang1870 @ 163[.] com，主題是“招商引資”。而嵌入的鏈接包含受害者的電子郵件地址和代碼。

圖1：發(fā)給中國(guó)應(yīng)急管理部的網(wǎng)絡(luò)釣魚電子郵件

其他相關(guān)URL：

libjs.inquirerjs [.] com / script / <VICTIM> @ wuhan.gov.cn.png

libjs.inquirerjs [.] com / script / <VICTIM> @ chinasafety.gov.cn.png

m.topiccore [.] com / script / <VICTIM> @ chinasafety.gov.cn.png

m.topiccore [.] com / script / <VICTIM> @ wuhan.gov.cn.png

libjs.inquirerjs [.] com / script / <VICTIM> @ 126.com.png

APT32可能針對(duì)中國(guó)目標(biāo)使用了以COVID-19為主題的惡意附件。雖然還沒(méi)有發(fā)現(xiàn)完整的執(zhí)行鏈，但是找到了一個(gè)METALJACK加載器，在啟動(dòng)有效載荷時(shí)會(huì)顯示一個(gè)中文文檔。

當(dāng)METALJACK加載程序krpt.dll（MD5：d739f10933c11bd6bd9677f91893986c）加載時(shí)，可能會(huì)調(diào)用導(dǎo)出“ _force_link_krpt”。加載程序執(zhí)行其嵌入式資源之一，一個(gè)COVID為主題的RTF文件，向受害者顯示內(nèi)容并將文檔保存到％TEMP％。

圖2：標(biāo)題為“冠狀病毒實(shí)時(shí)更新：中國(guó)正在追蹤來(lái)自湖北的旅行者”的誘餌文檔，MD5：c5b98b77810c5619d20b71791b820529

該惡意軟件還會(huì)把shellcode加載到附加MD5中加：a4808a329b071a1a37b8d03b1305b0cb，其中包含METALJACK有效載荷。Shellcode通過(guò)執(zhí)行系統(tǒng)調(diào)查收集受害者的計(jì)算機(jī)名和用戶名，然后使用libjs.inquirerjs [.] com將這些值附加到URL字符串，再嘗試調(diào)出URL。如果調(diào)用成功，惡意軟件就會(huì)將METALJACK有效載荷加載到內(nèi)存中。最后，使用vitlescaux[.]com進(jìn)行命令和控制。

越南外交部：否認(rèn)相關(guān)指控

在APT活動(dòng)歸因上，越南外交部發(fā)言人吳全勝于4月23日否認(rèn)相關(guān)指控，稱“越南禁止一切形式的網(wǎng)絡(luò)攻擊，這類行動(dòng)應(yīng)當(dāng)予以譴責(zé)，并嚴(yán)格依法處理”。而根據(jù)“越南快訊”報(bào)道，吳全勝還表示，越南國(guó)民議會(huì)已于2018年通過(guò)了網(wǎng)絡(luò)安全法，該國(guó)正在完成法律文件以執(zhí)行法律并防止網(wǎng)絡(luò)攻擊。他說(shuō)，“越南愿意與國(guó)際社會(huì)合作，打擊和防止任何形式的網(wǎng)絡(luò)攻擊?！?/p>

*本文作者：kirazhou，轉(zhuǎn)載自FreeBuf.COM

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來(lái)源:

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明