360:捕獲用肺炎疫情投遞攻擊案例來自印度黑客組織
360公司今日表示,360安全大腦近日捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文檔,對抗擊疫情的醫療工作領域發動APT攻擊。在進一步追踪溯源中,360發現這起APT組織隸屬於印度黑客組織。
據悉,該攻擊組織使用採用魚叉式釣魚攻擊方式,通過郵件進行投遞。其利用當前肺炎疫情等相關題材作為誘餌文檔,部分相關誘餌文檔如:武漢旅行信息收集申請表。xlsm,進而通過相關提示誘導受害者執行宏命令。簡單說,攻擊者其將關鍵數據存在worksheet裡,worksheet被加密,宏代碼裡面使用key去解密然後取數據。這裡一旦宏命令被執行,攻擊者就能訪問某網址,並使用scrobj.dll遠程執行Sct文件,這是一種利用INF Script下載執行腳本的技術。
360表示,目前可以確定攻擊者來源於印度的APT組織。該組織的攻擊目標主要為:中國、巴基斯坦等亞洲地區國家進行網絡間諜活動,其中以竊取敏感信息為主。而且在對中國地區的攻擊中,主要針對政府機構、科研教育領域進行攻擊,尤其以科研教育領域為主。