安恒猎影实验室发现疑似蔓灵花APT组织伪装多国身份攻击孟加拉国

      近期，安恒安全数据部猎影实验室捕获到多个疑似蔓灵花组织的活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似，延续了其一贯的攻击特征。

     蔓灵花组织利用得到权限的巴基斯坦、孟加拉国政府邮箱发起网络攻击活动，我们发现其中一处回连域名使用了中文拼音，疑似伪装为我国进行攻击。

      此次猎影实验室捕获了多个邮件样本，这些邮件的收件人都为孟加拉政府机构邮箱，根据发件人情况，可以分为两类：一类邮件发送自巴基斯坦政府机构邮箱账号，另一类邮件发送自孟加拉政府机构邮箱账号。

      在这批样本中，最早的发件时间为2021年9月1日，从发往[email protected]，发件人名和邮箱伪装成了rab 3 tikatuly（RAB-3 提卡图利部队）

     这批邮件使用不同来自巴基斯坦的官方邮箱账号，伪装成快速反应部队（RAB）的邮箱账号，进行钓鱼活动。这些邮件的共同点在于使用同样的伪装名称，都是伪装成来自RAB部队在孟加拉其他营地的正常申请。

      随后在2月初，我们陆续发现了来自孟加拉官方邮箱的钓鱼邮件，这些邮件发送人名为“Mohiuddin Ahmad”，邮箱号为[email protected]

      在诱饵邮件中自称来自特殊安全部队的空军上尉，向孟加拉政府内的多个重点账户发送。这也是我们发现的首封发送自孟加拉政府邮箱的邮件。

      后续也发现了几封使用同一账号发送的邮件，投递目标也都为孟加拉政府重点单位邮箱，比如下图以“特殊安全部队联合行动”为主题的钓鱼邮件。

      对比在这封邮件前后捕获得到的钓鱼邮件的收件人信息，可以明显发现攻击的递进情况。一开始，蔓灵花组织利用已经获得的巴基斯坦政府邮箱对孟加拉快速反应部队的几个对外邮箱进行邮件钓鱼，邮件的收发人情况见下图：

     前期的攻击重点对象为[email protected]账号，整体情况见下图：

     蔓灵花组织在持续一段时间的攻击之后，得到了孟加拉政府部分失陷的内部邮箱账号，并借此扩大对孟加拉国的快速反应部队（RAB）的重点邮箱账号的横向钓鱼攻击。

      巴基斯坦与孟加拉分别位于印度的东西两侧，同时两国在历史上也有着一定的渊源。本次针对孟加拉军方的攻击活动，来源于蔓灵花针对巴基斯坦的长期渗透中所获得的一处跳板。蔓灵花在利用该跳板攻入一定目标后，又迅速利用钓鱼扩大入侵范围。

      本次事件在钓鱼的手法上，与近期安恒安全数据部猎影实验室捕获的借用尼泊尔湿婆节题材等相关诱饵发起的网络攻击活动样本(https://ti.dbappsecurity.com.cn/blog/articles/2022/03/11/bitter-nepal-army-day/)，十分相似。在那次的攻击活动中，蔓灵花组织借用攻击活动中得到的尼泊尔官方湿婆节邀请函制作诱饵，对巴基斯坦的政府以及核能人员，发起定向攻击。

      蔓灵花组织在这些年长期针对巴基斯坦与我国发起攻击，也在这些年的攻击活动中，得到不少可以用作跳板资产。而近期蔓灵花的活动，也表现了该组织似乎开始借助这些年攻击活动中积累各类入侵成果，不断扩大自己的攻击范围和提升攻击的迷惑性。

      上述报告主要为疑似蔓灵花对其他国家的攻击，但是不排除会采用相同的手法和工具对我国发起攻击。我们需要：

      目前安全数据部已实现相关威胁检测能力，对应产品已完成能力集成：