中国网络安全厂商发布长篇分析报告:攻击目标转向攻击我国

中国网络安全厂商安天科技集团近日发布长篇分析报告《“小象”组织在南亚的网络攻击活动分析》,揭露了一个长期入侵南亚多个国家的印度黑客组织。该组织最近将其攻击目标转向攻击我国。

据安天科技集团副总工程师李博松介绍,“该组织的早期活动是在2017年,当时安天抓获了一批针对南亚国家政府、军队和国防部门的大规模针对性网络攻击。该组织有自己的一套相对独立的攻击资源和攻击工具,但当时的攻击能力还比较简陋,可能是新组建的攻击团队,技术能力还不成熟。因此,这个新的高级威胁组织被命名为“小象”。”

五年来什么代码是攻击力的,该组织对南亚国家和我国发起了多波攻击:

自2017年年中以来,它已向巴基斯坦、斯里兰卡等国家的军队和政府机构交付了针对性的自解压攻击文件。

自2017年底以来,已向巴基斯坦、尼泊尔等国家的教育和政府机构交付Office文档攻击文件。

自2018年底以来,针对性的隔离网络渗透木马已被交付给巴基斯坦等国军队。

自 2019 年年中以来,针对南亚多个国家的大规模钓鱼网站攻击已经开始。

从2019年底开始什么代码是攻击力的,向巴基斯坦、斯里兰卡等国军队提供LNK袭击文件。

从2020年底开始,恶意Android木马将被投放到尼泊尔等国家的政治相关目标。

图片[1]-中国网络安全厂商发布长篇分析报告:攻击目标转向攻击我国-老王博客

2021年年中,对国内相关机构进行有针对性的情报盗窃打击。

本报告在一定程度上总结了 2020 年至今发现的小象群的攻击活动、战术和工具。整体活动的特点可简述如下表:

表 1-1 总体攻击活动特征和攻击时间汇总

近四年来,“小象”攻击规模和数量逐年翻番,攻击手段和攻击资源逐渐丰富,攻击目标从一开始才开始覆盖南亚更多地区. 2021年,该集团开始对中国相关机构进行有针对性的情报窃取攻击。该组织采取的攻击手段包括搭建钓鱼网站、利用恶意安卓应用攻击手机、利用Python等语言编写的木马窃取电脑上的各种文档文件、浏览器缓存密码等主机系统环境信息.

本次披露的文件中,最重要的一点是:“小象”攻击者在2020年11月23日至2020年11月24日期间,共向国际公安资源上传了8个测试恶意文件。测试木马躲避杀毒软件的能力,但也暴露了它的位置。安天CERT将攻击者的payload与使用的C2等攻击基础设施等关联起来,确认部分测试文件与已知的“小象”样本在代码内容上也存在高度同源性。并且通过资源检索,样本的至少一名上传者来自印度德里。

与“小象”早期相对初级的攻击活动相比,该组织现已成长为南亚地区最活跃、最成熟的攻击组织,已成为南亚乃至整个亚太地区的重要网络安全威胁. 从主动攻击的频率来看,目前有取代同源白象和苦象组织的趋势。未来很可能成为南亚地区的主要攻击组织,需要对其进行跟踪和关注。从目前的攻击装备图来看,其攻击载荷工具还不是很系统,技术栈比较复杂混乱,对社会工程技能的依赖度很高。它还没有看到挖掘和利用 0DAY 漏洞的能力,甚至很少看到它。使用已知漏洞。但这并不意味着小象带来的攻击成功率低。这种攻击能力必须真实反映被攻击方真正的低级防护和较弱的安全意识。

李柏松指出,“高级持续威胁(APT)攻击是具有政治经济背景的组织发起的面向高价值目标的网络攻击。判断APT攻击的关键要素。从攻击的高级性来看,攻击者不需要绝对“先进”的攻击技术,只要能建立相对于防御水平的“势差”,包括意识缺失或攻击,如果漏洞暴露在碰撞点,可以形成有效的攻击。”

李博松说:“这种攻击能频频奏效,这实际上反映了南亚国家,包括更多发展中国家所面临的真实网络安全风险挑战。该集团的攻击目标也从一开始就针对我国,仅在南亚洲。这与2013年后南亚“白象”集团的袭击重点逐渐从南亚转移到中国类似,我们必须保持高度警惕。”

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论