敌对分子趁“疫”打劫,云防护终端安全势在必行
作者:星期二, 二月 11, 20200

疫情期间,网络威胁愈演愈烈趋势,其中印度APT组织“摩诃草”,针对我国医疗机构发起APT,通过使用假冒域名” nhc-gov.com “伪装成我国卫生主管单位的域名,诱骗用户主动下载运行的可执行文件;同时利用“新型冠状病毒”主题相关的文档作为诱饵文档,运用鱼叉式钓鱼邮件的方式,攻击我国医疗机构。

摩诃草组织(APT-C-09),又称HangOver,VICEROY TIGER,The Dropping Elephant,Patchwork,是一个来自南亚地区的境外APT组织。自2013年被曝光以来,已经持续活跃了8年之久,该组织主要针对中国、巴基斯坦等亚洲地区和国家进行网络间谍活动。对中国地区的攻击中,该组织主要针对军事、政府、科研、通讯等机构。 针对此次攻击事件, 网思科平的威胁分析中心进行了详尽的威胁分析——

相关文档

1.《武汉旅行信息收集申请表.xlsm》

2.《卫生部命令.docx》

 

样本分析

1.《武汉旅行信息收集申请表.xlsm》

1)样本信息

2)分析概况

诱导用户执行宏代码,通过“scrobj.dll”远程执行“http://45.153.184.67/window.sct”文件,执行后继续从服务器下载伪装成jpeg文件的后门木马“window.jpeg”。该后门木马主要行为是自拷贝、创建计划任务实现持久化攻击和与C&C服务器通信执行指令。

3)详细分析

  • 下载后门木马

表格中嵌入了恶意宏代码,再通过“scrobj.dll”远程执行“http://45.153.184.67/window.sct”,进而下载伪装成图片的后门木马“window.jpeg”:

 

  • 后门木马自拷贝

后门木马自拷贝到C:\Users\%UserName%\AppData\Roaming\msupdate.exe和C:\Microsoft\msupdate.exe:

  • 创建计划任务

创建计划任务“Microsoft Update”定期执行C:\Microsoft\msupdate.exe,实现持久化攻击:

  • 连接C&C服务器

使用本机UUID在C&C服务器注册,并请求连接任务接口,连接成功以后接收任务指令,把任务指令执行结果再传回C&C服务器:

  • 反向Shell功能

从C&C服务器得到要连接的IP和端口,创建cmd进程通过管道的方式创建反向Shell:

  • 文件上传功能

从C&C服务器得到要上传的FTP服务器的URL,用户名、密码和要上传的文件路径,然后上传文件到服务器:

  • 文件下载功能

从C&C服务器获取要下载文件的URL,然后下载文件到本地:

  • 屏幕快照功能

拍屏幕快照,上传C&C服务器:

2.卫生部命令

1)样本信息

2)分析概况  

诱导用户点击“提交”按钮执行shell.explorer加载对象,下载木马加载器submit_details.exe(链接为https://github.com/nhc***/q*******8/raw/master/submit_details.exe ):

3详细分析

  • 访问 www.baidu.com 检查网络连接:

  • 上传本机配置信息到C&C服务器:

  • 获取木马下载链接

访问链接https://api.github.com/repos/*****/meeting/contents/s****p/token.txt获取木马的下载链接,但是该文件已经被攻击者删除:

 

溯源分析

此次攻击所使用的的后门与已披露的摩诃草组织(APT-C-09)所使用的专属后门cnc_client极为相似,其中与C&C服务器通讯所使用的URL格式完全一致,所以可以确定本次攻击就是摩诃草组织所为:

 

IOC附录

1.MD5:

 

2.Domain:

3. URL:

 

4. IP:

 

5. 已知恶意钓鱼文件名称列表:

网思科平专家提醒

  1. 收到关于冠状病毒、发票、票据等主题的邮件时,不要轻易打开附件文件和链接;
  2. 不要轻易在互联网上下载打开带有“武汉肺炎疫情”,“新型冠状病毒”等相关名称,后缀为exe,scr等类型的可执行文件;
  3. 不要轻易打开不明未知来源的doc、docx、docm、xls、xlsx、.xlsm、pdf、rtf等文档。
                                     

为远程办公提供专有终端防护方案

在疫情期间,各地医疗机构均派遣医学专家及医护人员支援,他们携带的终端设备因现实条件原因,无法得到有效安全防护,一旦被入侵,APT组织极易侵入各医疗机构内网系统,造成更严重破坏!

 

在大灾大难面前,大家众志成城!网思科平履行网安企业的社会责任,向疫情期间所有有远程办公且有安全需求的用户提供安全的SaaS服务免费为大家终端PC部署天蝎EDR公有云探针,通过云端服务器与端点探针联动,有效保护用户终端安全。

      

天蝎EDR基于云平台搭建的服务平台,产品的敏捷性、易用性等方面要明显优于传统部署的安全产品。可远程部署,并提供24小时不间断的安全服务,确保移动办公和连接互联网计算机免受高级威胁的入侵,打破安全防御受限于时间和空间的限制。用户终端PC上部署天蝎EDR公有云探针后可有效阻止本次印度APT组织“摩诃草”的攻击,同时有效避免勒索、挖矿病毒、APT木马等恶意程序!

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章

没有相关文章!