APT32入侵我国,试图窃取COVID-19相关情报
新闻一篇:
一直以来,APT32都以东南亚为攻击目标,并且是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织,没有之一。此次再将目标对准中国,与新冠疫情离不开关系。
4月22日,Fireye发布报告称:至少从2020年1月至2020年4月,越南黑客组织APT32(OceanLotus Group)针对我国开展持续入侵活动,试图收集COVID-19相关情报。
达到窃取我国,疫情期间解决方案和相关数据的目的。
攻击手法:
具有跟踪链接的网络钓鱼电子邮件以中国政府为目标
针对中国政府,实施批量发送钓鱼邮件
第一个已知实例是在2020年1月6日,当时APT32使用发件人地址lijianxiang1870 @ 163 .com和主题第发送了带有嵌入式跟踪链接的电子邮件给中国紧急管理部。一期办公设备招标结果报告(翻译:办公设备招标第一季度结果报告)。嵌入式链接包含受害者的电子邮件地址和代码,以便在打开电子邮件时向参与者报告。
发现了其他跟踪URL,这些URL揭示了中国武汉市政府的目标以及也与应急管理部相关联的电子邮件帐户。
- libjs.inquirerjs [。] com / script / <VICTIM> @
wuhan.gov.cn.png - libjs.inquirerjs [。] com / script / <VICTIM> @
chinasafety.gov.cn.png - m.topiccore [。] com / script / <VICTIM> @
chinasafety.gov.cn.png - m.topiccore [。] com / script / <VICTIM> @
wuhan.gov.cn.png - libjs.inquirerjs [。] com / script / <VICTIM> @
126.com.png
当METALJACK加载程序krpt.dll(MD5:d739f10933c11bd6bd9677f91893986c)加载时,可能会调用导出“ _force_link_krpt”。加载程序执行其嵌入式资源之一,一个COVID为主题的RTF文件,向受害者显示内容并将文档保存到%TEMP%。
以COVID为主题的诱饵文件
该恶意软件还会把shellcode加载到附加MD5中加:a4808a329b071a1a37b8d03b1305b0cb,其中包含METALJACK有效载荷。Shellcode通过执行系统调查收集受害者的计算机名和用户名,然后使用libjs.inquirerjs [.] com将这些值附加到URL字符串,再尝试调出URL。如果调用成功,恶意软件就会将METALJACK有效载荷加载到内存中。最后,使用vitlescaux[.]com进行命令和控制。
越南外交部回应:否认相关指控
在APT活动归因上,越南外交部发言人吴全胜于4月23日否认相关指控,称“越南禁止一切形式的网络攻击,这类行动应当予以谴责,并严格依法处理”。
而根据“越南快讯”报道,吴全胜还表示,越南国民议会已于2018年通过了网络安全法,该国正在完成法律文件以执行法律并防止网络攻击。他说,“越南愿意与国际社会合作,打击和防止任何形式的网络攻击。”
APT32入侵我国,试图窃取COVID-19相关情报的更多相关文章
- 2015年我国IT行业发展趋势分析(转)
中国信息化建设步伐正持续推进,行业和企业信息化应用水平也在不断提高,这使得it技术与应用系统已成为企业日常工作中不可或缺的基础设施.与此同时,用户关注的重心也日益转向it系统的稳定性.系统对生产效率的 ...
- 应急响应系列之OA被入侵挖矿分析报告
一 基本情况 1.1 简要 此事件是去年应急处置时完成的报告,距今有半年时间了.一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端. 对于 Linux 安全检查,个 ...
- 基于知识图谱的APT组织追踪治理
高级持续性威胁(APT)正日益成为针对政府和企业重要资产的不可忽视的网络空间重大威胁.由于APT攻击往往具有明确的攻击意图,并且其攻击手段具备极高的隐蔽性和潜伏性,传统的网络检测手段通常无法有效对其进 ...
- 3.SDL落地方案
01.安全培训 安全意识培训(全员) 邮件安全 钓鱼邮件 邮件伪造 第三方转存 检查发件人 开启二次验证 邮件转发 第三方代收 邮件附件敏感信息加密 病毒防范 什么是木马病毒 我安装哪些杀毒软件? 定 ...
- 如何检测Windows中的横向渗透攻击
一.前言 横向渗透攻击技术是复杂网络攻击中广泛使用的一种技术,特别是在高级持续威胁(Advanced Persistent Threats,APT)中更加热衷于使用这种攻击方法.攻击者可以利用这些技术 ...
- 互联网扫描器 ZMap 完全手册
初识 ZMap ZMap被设计用来针对整个IPv4地址空间或其中的大部分实施综合扫描的工具.ZMap是研究者手中的利器,但在运行ZMap时,请注意,您很有 可能正在以每秒140万个包的速度扫描整个IP ...
- 值类型,引用类型,栈,堆,ref,out
在网上收集... C#的值类型,引用类型,栈,堆,ref,out C# 的类型系统可分为两种类型,一是值类型,一是引用类型,这个每个C#程序员都了解.还有托管堆,栈,ref,out等等概念也是每个C# ...
- Fork/Join 框架-设计与实现(翻译自论文《A Java Fork/Join Framework》原作者 Doug Lea)
作者简介 Dong Lea任职于纽约州立大学奥斯威戈分校(State University of New York at Oswego),他发布了第一个广泛使用的java collections框架实 ...
- 端口扫描--zmap
ZMap被设计用来针对整个IPv4地址空间或其中的大部分实施综合扫描的工具.ZMap是研究者手中的利器,但在运行ZMap时,请注意,您很有 可能正在以每秒140万个包的速度扫描整个IPv4地址空间 . ...
随机推荐
- 关于利用python进行验证码识别的一些想法
转载:@小五义http://www.cnblogs.com/xiaowuyi 用python加“验证码”为关键词在baidu里搜一下,可以找到很多关于验证码识别的文章.我大体看了一下,主要方法有几类: ...
- POJ 1062 昂贵的聘礼 最短路+超级源点
Description 年轻的探险家来到了一个印第安部落里.在那里他和酋长的女儿相爱了,于是便向酋长去求亲.酋长要他用10000个金币作为聘礼才答应把女儿嫁给他.探险家拿不出这么多金币,便请求酋长降低 ...
- 超参数、验证集和K-折交叉验证
本文首发自公众号:RAIS 前言 本系列文章为 <Deep Learning> 读书笔记,可以参看原书一起阅读,效果更佳. 超参数 参数:网络模型在训练过程中不断学习自动调节的变量,比如 ...
- 《JavaScript 模式》读书笔记(5)— 对象创建模式4
我们学完了大部分对象创建模式相关的内容,下面还有一些小而精的部分. 七.对象常量 JavaScript中没有常量的概念,虽然许多现代的编程环境可能为您提供了用以创建常量的const语句.作为一种变通方 ...
- CDN 内容分发
1,传统架构访问服务器资源: www.aiyuesheng.com/page/logo.png 这是部署在服务器上的一张图片,因为服务器部署在上海,所以在上海或周边的人访问要稍微快一点,但是,若是云南 ...
- Mac 中命令行启动、停止、重启Mysql
启动: ~$ sudo /usr/local/mysql/support-files/mysql.server start 停止: ~$ sudo /usr/local/mysql/support-f ...
- 【cs224w】Lecture 3 - Motif, Graphlet 及 结构性角色
目录 Network Motifs Configuration Model Graphlets How to Find Motifs and Graphlets Structural Roles 转自 ...
- wireshark一开,无线网络就断开
最近在研究wireshark 笔记本连着wifi,开始抓包后,无线网就断了 查了半天,需要把捕获-->选项里的监控模式去掉就行了
- 剑指Offer系列之题16~题20
目录 16.反转链表 17.合并两个排序的链表 18.树的子结构
- 电商平台--Mysql主从搭建(2)
Master上授权从库: ```grant replication slave on *.* to slave1@ip identified by 'password';``` 基于数据库hotcop ...