奇安信威胁情报中心红雨滴安全研究团队多年来持续对南亚次大陆方向的攻击活动进行追踪。我们对蔓灵花、摩诃草、响尾蛇等相关组织均做过大量的分析和总结。上述组织长期针对中国、巴基斯坦、尼泊尔等国和地区进行了长达数年的网络间谍攻击活动,主要攻击领域为政府机构、军工企业、核能行业、商贸会议、通信运营商等。
而近些年来,随着南亚边境冲突加剧,越来越多攻击组织借助中印关系为主题,针对中国关键基础设施部门发起网络攻击活动,我们长期追踪分析的“魔罗桫”APT团伙便是其中之一(国外安全厂商命名的Confucius)。
该组织自2013年起便持续活跃,奇安信内部对该团伙命名为“魔罗桫”。而由于近年来该组织对其内部攻击项目的命名:Project tibbar,故我们将该组织近期的攻击活动命名为:提菩。
在提菩攻击活动中,攻击团伙使用了多种攻击手法:邮件结合钓鱼网站,邮件结合木马附件,单一投放木马,恶意安卓APK投放等等。其中值得注意的是,攻击团伙除了使用自定义的特种木马外,疑似还使用了一些商业,开源木马。
在分析攻击载荷过程中,红雨滴发现该团伙不仅使用了高敏感性的、诱惑性的恶意文档名称,还发现该组织疑似使用了类似“商贸信”的攻击手法。这一点与以往传统的APT组织不太一致,这或许是该组织隐蔽自身攻击活动的方式,从而加大分析人员溯源的难度。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论