2020年3月,在中国大陆新冠疫情形势日趋复杂、公众对疫情信息需求急剧攀升的背景下,中国台湾地区黑客组织”绿斑”(Green Spot)以疫情统计数据和民间防治方案为诱饵,对中国大陆的政府部门、医疗机构和科研院所发动了窃密网络攻击。攻击者利用疫情期间社会对疫情信息的迫切心理,将恶意代码嵌入看似无害的疫情文件之中,手法隐蔽而精准。
“疫情统计表”与”药方”背后的木马
据多家威胁情报厂商联合发布的预警公告,”绿斑”组织主要通过社交平台和即时通讯工具散布名为”全国各省疫情详细统计表””武汉方舱医院部署方案”和”民间中药预防药方”的恶意文件。这些文件表面上是正常的Excel表格或Word文档,实际包含精心构造的公式注入漏洞利用代码或嵌入式恶意宏。用户一旦打开并允许执行,恶意程序便会立即建立与境外控制服务器的加密通信通道,静默窃取受感染终端中的各类敏感文档、通讯录和账户凭证信息。安全工程师在逆向分析后发现,攻击者专门针对中国大陆政务系统中常用的特定软件版本进行了定制化漏洞利用开发。
攻击动机分析
“绿斑”组织自2018年起进入中国安全厂商视野,其攻击活动长期聚焦于涉及两岸政治、经济和军事议题的机构。2020年3月的这轮以疫情为名的攻击,在时机选择上具有明确的策略考量:当公共注意力和应急资源集中于疫情防控时,常规的网络安全监测和应急响应能力可能出现短暂削弱。安全分析人士评论认为,该组织的手法反映出高度的社会工程学素养——它不仅理解技术漏洞,更精于揣摩目标用户的心理学特征。
威胁应对与持续警惕
“绿斑”的此次行动再次警示,在重大公共事件期间,网络攻击的伪装手段会与社会心理同步进化。中国网络安全机构已联合发布面向各级政务单位的专项安全指南,覆盖恶意文件识别、邮件安全加固和终端防护升级等关键环节。从更长远的视角看,威胁情报的实时共享、政企协同的快速响应机制,以及全民网络安全素养的提升,才是应对此类”社会工程+技术渗透”复合型攻击的根本之策。
本文由龙小新newer整理撰写,首发于信卜蜂。转载请注明出处。
消息来源
- 微步在线威胁情报:绿斑组织活动分析
- 安全内参(secrss.com):疫情期间黑客组织活动报告
- CN-SEC中文网:2020年中国网络安全事件盘点
暂无评论内容