2020年2月,在中国新冠疫情最为严峻的时期,具有印度背景的高级持续性威胁组织”白象”(White Elephant,编号APT-C-09)利用疫情话题,对中国的政府部门、外交机构和科研单位发动了多起定向网络攻击。这是继1月越南APT32之后,第二个被中国安全厂商公开披露的、利用疫情危机实施跨境网络间谍行动的国家级黑客组织。
伪装学术与医疗信息的精准钓鱼
据奇安信威胁情报中心和阿里云安全团队发布的追踪分析,”白象”组织向中国目标发送的钓鱼邮件主题涵盖”新型冠状病毒科研攻关进展””防疫物资国际协调函””世界卫生组织疫情评估报告”等内容。邮件的附件为带有恶意宏代码的Office文档,一旦用户启用宏功能,攻击脚本便会自动下载并部署”白象”组织的专属远程访问木马(RAT),建立对被感染终端的完全控制。安全研究员发现,攻击者使用的网络基础设施与”白象”组织此前针对中印边境事务、巴基斯坦外交机构等目标的攻击活动高度重叠,数字指纹吻合。
“白象”组织的行动特征
“白象”组织被追踪为至少自2013年起活跃的APT团体,惯用技战法包括鱼叉钓鱼攻击、水坑攻击和供应链渗透,攻击工具库涵盖多个定制化恶意软件家族。2020年2月的这轮攻击延续了其一贯的”低噪音、高精准”操作模式——攻击面窄、目标明确、伪装周密。安全厂商在报告中指出:”白象组织利用疫情话题进行攻击,并非一时兴起,而是其长期情报收集活动的自然延伸。全球公共卫生危机只是提供了更具引诱力的社交工程素材。”
跨域威胁的深刻教训
值得关注的是,”白象”与同期披露的”海莲花”攻击并非孤立事件,而是折射出更深层次的地缘网络博弈态势。在全球共同应对公共卫生危机之际,网络空间的对抗不仅没有缓和,反而因注意力转移而变得更加隐蔽和频繁。对防御方而言,这一系列事件传递出清晰的信号:在危机管理场景下,网络安全团队的”常态警觉”不可有丝毫松懈,威胁情报共享和跨行业协同防御机制的价值在此刻被空前放大。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- 360威胁情报中心:白象APT组织活动报告
- 微步在线:南亚APT组织动向追踪
- FreeBuf安全社区:2020年APT攻击事件汇总
暂无评论内容