最新动态
NEWS
最新动态 > “尼格风暴”高价值APT攻击席卷我国12省
“尼格风暴”高价值APT攻击席卷我国12省
2023-05-25

近日安全调查发现,2022年11月至2023年2月期间境外黑客利用国内某防火墙漏洞针对我国医疗、能源、化工、地质、基建等关键行业的23个高价值目标展开攻击。 

安全人员称:综合多方因素,本次APT攻击为具有越南政府背景的“海莲花”所为,目标范围大,影响范围广,涉及我国多个重点机构及敏感行业,有较强地缘政治倾向。对此次攻击行动代号命名为“尼格风暴”。

攻击目标涉及我国12个省的重点机构。

对“尼格风暴”攻击行动进行互联网攻击链路复原分析,针对国内攻击目标行业做初步划分,涉及医疗、能源、化工、地质、大基建等敏感行业。从国内城市分布上看,攻击事件和攻击目标所在地主要分布在南部沿海及周边并向中东部扩散蔓延,涉及我国12个省中18个地市。

此次攻击为高价值APT攻击行动。

在攻击行动中,攻击者疑似利用国内某品牌防火墙未被披露的远程代码执行漏洞突破,且新型Linux木马涉及到的攻击目标都有该防火墙资产的共性。因此,基本确定“海莲花”这次攻击行动使用了通用型产品漏洞。

根据“尼格风暴”行动中涉及到的空间资产共性,结合互联网空间测绘,粗略筛选出去重后的1075个IP资产,这些资产分布于全球17个国家,但90%以上的资产都集中在国内,说明相关的风险也集中在国内,进一步表明这次“尼格风暴”行动目标针对中国。

APT攻击会对企业机构造成严重危害。

APT是黑客以窃取核心数据为目的而发动的网络攻击和入侵,是蓄谋已久的“恶意商业间谍威胁”。APT 攻击的目标一般是政府组织或大型企业,主要针对国家重要基础设施和组织,包括关系国计民生或国家核心利益的网络基础设施,或相关领域的大型企业。

企业的信息安全得不到保障,会严重影响自身发展,同时企业敏感信息的泄露也会给企业带来不可估量的负面社会影响和损失。

电子邮件或成APT开展攻击的工具。

安全人员研究发现,APT攻击中有91%的攻击是利用电子邮件。APT攻击通常会以电子邮件的形式出现,邮件中可能会附加文件或网址来引诱收件者打开。一旦用户打开邮件里的文件或链接,那么攻击者就能取得用户的全部个人信息、商业秘密或无价的知识产权。

因此,政企等重点行业、关键领域需谨慎处理来往邮件数据,提前做好相关培训及技术性防护。

保护电子邮件的技术性防护措施。

一、对员工进行网络安全和法律知识培训

定期对所有员工进行网络安全知识普及,适当的进行安全知识测验。重点针对业务、财务、技术、研发、运维人员定期进行安全意识培训,在使用电子邮件时注意防范社会工程学攻击,如钓鱼攻击及欺诈邮件。

二、邮件加密及备份

数据加密及数据备份恢复技术,是防范数据泄露和被勒索利用的有效手段。黑客即使通过攻击或漏洞获取的数据也是加密数据,加密数据无法读取和传播,对于黑客来说这些数据毫无价值。

不能获取有用数据的黑客可能会损坏数据,达到勒索的目的。如果出现恶意破坏,企业用户则可通过备份的数据进行快速恢复,可最大程度减少损失。

三、对敏感邮件数据进行授权管控

对敏感邮件进行授权管控,未授权人员无法访问内容,避免恶意泄露。可有效避免“内鬼”将机密外泄。常见的管控技术有:访问权限管控、水印溯源管控、离职管控、加密管控、上传管控等。

四、部署数据防泄漏系统(DLP)

政企等涉密机构,可部署数据防泄漏系统,可有效避免内部人员无意或恶意的数据外泄。数据防泄漏系统会对内容进行识别,通过识别可扩展到对数据泄露的防控,可定位敏感数据位置、监控敏感数据的使用情况以及采取阻断和审批加密的策略,防护敏感数据外泄。

商务密邮建议,无论是企业还是个人都要加强防护,要谨慎打开来源不明的电子邮件及附件,仔细甄别邮件内容,避免恶意入侵。发送重要数据时,选择高强度加密传输,涉密机构有必要借助第三方技术手段部署网络安全、数据安全整体防护策略,增强自主防御能力,避免因网络攻击造成的数据泄露。