近日,瑞星威脅情報(bào)平臺(tái)捕獲到一起針對(duì)尼泊爾政府的攻擊事件,通過(guò)對(duì)比分析發(fā)現(xiàn),此次事件的攻擊者為SideWinder組織。該組織將仿造的總理行程釣魚(yú)郵件發(fā)送給尼泊爾政府機(jī)構(gòu),以此誘導(dǎo)目標(biāo)點(diǎn)擊,從而激活遠(yuǎn)控后門(mén),達(dá)到盜取政府機(jī)密信息的目的。

目前,瑞星終端威脅檢測(cè)與響應(yīng)系統(tǒng)(EDR)能夠可視化地還原此次攻擊事件,通過(guò)威脅調(diào)查功能,讓用戶(hù)從任意節(jié)點(diǎn)和關(guān)鍵元素對(duì)整個(gè)攻擊進(jìn)行追溯和梳理,全方位了解每一步進(jìn)程,以此來(lái)提升防范網(wǎng)絡(luò)攻擊的能力。

圖:瑞星EDR還原尼泊爾政府被攻擊事件的整個(gè)流程

APT組織介紹

瑞星安全專(zhuān)家介紹,SideWinder是一個(gè)至少?gòu)?012年就開(kāi)始進(jìn)行網(wǎng)絡(luò)攻擊的威脅組織,又被稱(chēng)為響尾蛇、T-APT-04、Rattlesnake和APT-C-17,是現(xiàn)今最活躍的組織之一。該組織主要從事信息竊取和間諜活動(dòng),攻擊目標(biāo)集中在中國(guó)、巴基斯坦、阿富汗、錫蘭、緬甸等國(guó)家,涉及行業(yè)多為政府部門(mén)、國(guó)防、醫(yī)療和科技公司等。據(jù)瑞星監(jiān)測(cè)發(fā)現(xiàn),SideWinder組織就曾仿冒外交部和商務(wù)部對(duì)國(guó)內(nèi)政府機(jī)關(guān)發(fā)起釣魚(yú)攻擊,但并未成功。

圖:瑞星監(jiān)測(cè)到SideWinder組織曾對(duì)中國(guó)發(fā)起過(guò)APT攻擊

攻擊方式

在此次事件中,攻擊者將仿造的“尼泊爾總理普什帕·卡邁勒·達(dá)哈爾行程信息”通過(guò)郵件發(fā)送給尼泊爾政府機(jī)構(gòu),以騙取相關(guān)人員的信任。一旦點(diǎn)擊郵件附件,就會(huì)啟動(dòng)其中的惡意宏代碼,而后釋放出后門(mén)病毒和腳本文件。當(dāng)后門(mén)病毒被腳本啟動(dòng)后,就會(huì)通過(guò)HTTP協(xié)議與服務(wù)器進(jìn)行通信,接收由攻擊者發(fā)來(lái)的指令,對(duì)受害者電腦進(jìn)行遠(yuǎn)程控制,盜取所有的機(jī)密信息與數(shù)據(jù)。

圖:仿造成尼泊爾總理行程信息的誘餌文檔

后門(mén)病毒的特點(diǎn)

此次攻擊者所使用的后門(mén)病毒是由Nim語(yǔ)言編寫(xiě),其優(yōu)勢(shì)是增加了安全人員的分析難度,降低了安全軟件的檢測(cè)率,是目前很多攻擊組織喜歡的新型開(kāi)發(fā)語(yǔ)言。

防范建議:

瑞星安全專(zhuān)家表示,由于SideWinder組織的主要攻擊目標(biāo)包括我國(guó),因此政府部門(mén)和國(guó)家重點(diǎn)行業(yè)都應(yīng)提高警惕,謹(jǐn)防釣魚(yú)郵件和遠(yuǎn)控后門(mén)導(dǎo)致的機(jī)密信息及數(shù)據(jù)被盜風(fēng)險(xiǎn)。

1. 不打開(kāi)可疑文件。

不打開(kāi)未知來(lái)源的可疑的文件和郵件,防止社會(huì)工程學(xué)和釣魚(yú)攻擊。

2. 部署EDR、NDR產(chǎn)品。

利用威脅情報(bào)追溯威脅行為軌跡,進(jìn)行威脅行為分析,定位威脅源和目的,追溯攻擊的手段和路徑,從源頭解決網(wǎng)絡(luò)威脅,最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn),以便更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件,攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序,如果用戶(hù)不小心下載了惡意文件,殺毒軟件可攔截查殺,阻止病毒運(yùn)行,保護(hù)用戶(hù)的終端安全。

圖:瑞星ESM防病毒終端安全防護(hù)系統(tǒng)查殺相關(guān)病毒

4. 及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。

許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來(lái)進(jìn)行傳播,及時(shí)安裝補(bǔ)丁將有效減少漏洞攻擊帶來(lái)的影響。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）