2020年1月,正值中国武汉首次报告新型冠状病毒肺炎疫情、全国进入紧急防控状态之际,越南APT黑客组织”海莲花”(APT32/OceanLotus)趁势发动了一场高度定向的网络间谍行动。攻击者瞄准中国政府部门、医疗卫生机构和科研单位,以新冠疫情为饵,发动了一系列精心设计的鱼叉钓鱼攻击。
攻击手法:疫情通报背后的陷阱
据360安全大脑和微步在线等中国安全厂商发布的威胁情报,APT32组织向中国政府工作人员发送伪装成”疫情防控最新通报””武汉疫情实时数据””应急管理部紧急通知”等主题的钓鱼邮件。这些邮件在标题、格式、用语上高度模仿官方公文风格,并附带伪装成Word或PDF文档的恶意附件。一旦收件人出于工作本能点击打开,恶意代码便会在后台静默加载远控木马,实现对受感染终端的持久化控制和敏感数据窃取。
APT32的背景与动机
“海莲花”组织被全球网络安全业界公认为具有越南政府背景的高级持续性威胁(APT)组织,长期以中国外交、军工、海事和科技领域为目标。此次借疫情发动攻击,意图明显:一方面利用中国政府机构在特殊时期对疫情信息的高度敏感性提高攻击成功率;另一方面期望通过公共卫生危机的混乱窗口掩盖其网络间谍活动。微步在线威胁情报团队在报告中明确指出:”疫情话题被广泛用于APT攻击伪装,已成为2020年社交工程攻击最显著的特征之一。”
深远警示
APT32的此次行动并非孤例。2020年第一季度,多家安全厂商追踪到至少五个国家级APT组织利用新冠疫情话题发动攻击,攻击范围覆盖亚洲、欧洲和北美。这一系列事件深刻揭示了一个趋势:在全球性公共危机面前,网络空间的边界同样面临”破防”风险——攻击者会将人类共同面临的灾难转化为地缘政治博弈的数字武器。面向未来,跨国网络安全协作机制的建立,以及在危机状态下快速共享威胁情报的能力建设,将成为数字时代国家安全不可或缺的组成部分。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- 360威胁情报中心:APT32组织活动追踪报告
- 微步在线威胁情报:海莲花组织2020年活动分析
- 安全内参(secrss.com):疫情期间APT攻击态势
暂无评论内容