“暗象”组织疑似来自印度的APT攻击组织,其主要针对窃取印度周边国家如中国、巴基斯坦等的军事政治目标的重要情报。
自2012年以来,该组织针对印度境内以及包括中国在内的印度周边国家的重要领域作为目标,发动了长达十年的网络攻击活动。
研究人员,“暗象”组织针对我国重要单位的网络攻击活动,最后通过溯源分析指出该组织背后的运营人员可能位于东5.5时区(印度国家标准时间)。所以研究人员分析黑客组织来自印度境内。
“暗象”组织的主要攻击手段是使用谷歌、雅虎邮箱或者利用盗取的其他邮箱,向对方发送极具迷惑性的鱼叉邮件,诱骗对方运行具备多种免杀技巧、包含成熟商用远控木马载荷。
“暗象”组织的特点
组织性质:高级持续性威胁
活跃时间:最早可追溯到2012年,至今仍然活跃
攻击手段:鱼叉式邮件为主,使用远控木马,如NetWire、DarkComet、ParallaxRAT、GM Bot等
攻击意图:获取个体和组织信息、窃取情报
涉及平台:Windows、Android
攻击技术:内存解密、内存注入、数字证书、时间戳篡改、文件体积填充
使用漏洞:CVE-2012-0158、CVE-2013-3906、CVE-2014-1761、CVE-2015-1641
研究人员称,攻击者都喜好使用电子邮箱伪装成收信人的好友或社会知名人士、知名机构,利用时事热点或与对方的工作方向密切相关的诱导内容。利用漏洞长久的渗透入侵、获取信息,对于特别重要的个人目标能实施长达多年跨越多种系统平台的监控活动,攻击者主要是以窃密和潜伏为主要目的。
“暗象”针对我国的电邮攻击
2020年10月13日,国内某重要单位信箱收到一份可疑的电子邮件,发件人使用Gmail邮箱且不在该单位的通讯录内,邮件主题为“关于丢失带有敏感文件的外交包的信”,并在正文中提供了一条可供下载可疑文件的网盘链接。
该链接是一份ZIP压缩包,内容包含:4个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe)以及1个运行后展示给受害者的掩饰文档:DiplomaticBag.pdf。
四个木马程序都会随计划任务而定时启动,一旦启动就会执行商业远控,文件管理、键盘记录、远控桌面、密码窃取、更换签名、时间篡改、命令执行、进程管理、上传和执行等能力,功能运行都成熟稳定,足以支持常规的窃密操作。
在近10年中,印度的网络攻击中心逐渐从巴基斯坦转移到中国。根据攻击组织的活动,印度黑客相关组织不仅极为频繁对周边国家实施网络攻击,同时攻击组织的行动隐蔽能力较强,值得关注与警惕。
钓鱼邮件,从2020年下半年开始一直持续至目前,并呈大幅上升趋势。
从技术方面讲,以印度为代表的南亚地区网络攻击组织具有明显的特征,其主要利用“钓鱼”邮件,擅长使用社会工程学手段,通过利用受害者的本能反应、好奇心、信任等心理进行欺骗或攻击。
多年来,中国一直是网络攻击的受害国,中国安全行业捕捉到的来自印度多频次攻击也再次表明,中国网络安全形势的严峻性和加快构建网络安全保障体系的紧迫性。
相关安全专家提醒:针对境外网络攻击,中国政企等关键部门要提升自身免疫力,不管是来自印度还是美国的攻击都需要专业的团队分析对手,并采取相应的反制方式。
那么,我们应该做好哪些安全措施呢?
1、电子邮件是政企工作不可或缺的通信方式,攻击者自然将重心放置于此。而邮件攻击往往是撕开企业防线的入口。所以,加强电子邮件防护策略是目前政企的当务之急。
2、随着越来越多的业务迁移到公有云服务,存储在云端的数据也越来越多,因数据库防护不周或暴露而发生的数据泄露事件持续增多。所以,对所有服务器中的数据应加密存储,并且在数据使用上做到有效管控。
商务密邮:面对网络安全不能抱有侥幸心理,政企机构应及时为网络安全薄弱点增加防护策略和手段,减少恶意攻击和数据泄露的可能性。