經(jīng)過長達(dá)一年半的跟蹤分析，中國網(wǎng)安企業(yè)發(fā)現(xiàn)一支來自印度的APT（高級(jí)持續(xù)性網(wǎng)絡(luò)攻擊）組織針對(duì)巴基斯坦政府、軍事機(jī)構(gòu)發(fā)起新的攻擊活動(dòng)。該APT組織雖然來自印度，但其代號(hào)卻是“ Confucius”（孔子）。

中國網(wǎng)絡(luò)安全企業(yè)安天科技集團(tuán)12日對(duì)《環(huán)球時(shí)報(bào)》記者表示，該組織來自印度，其攻擊活動(dòng)最早可追溯至2013年，其主要針對(duì)中國、巴基斯坦、孟加拉國等印度周邊國家政府、軍事、能源等領(lǐng)域開展以竊取敏感資料為目的的攻擊活動(dòng)。

有意思的是，國際安全廠商將該組織命名為“Confucius”。安天科技集團(tuán)副總工程師李柏松表示，該攻擊組織在攻擊時(shí)用于偽裝傳遞攻擊指令和回連地址的頁面中帶有“Confucius says”字樣，即“子曰”，因此被命名為“Confucius”，“這表明攻擊者在持續(xù)攻擊中國過程中，也對(duì)中國的文化有所研究。‘Confucius’擅長使用魚叉式釣魚郵件、水坑攻擊以及釣魚網(wǎng)站，配合獨(dú)到的社會(huì)工程學(xué)手段對(duì)目標(biāo)進(jìn)行攻擊。”

APT組織以獲取政治、經(jīng)濟(jì)利益為出發(fā)點(diǎn)，竊取目標(biāo)的核心資料，或者破壞對(duì)方關(guān)鍵基礎(chǔ)設(shè)施，其攻擊的影響不僅僅局限在虛擬的網(wǎng)絡(luò)世界，物理世界也會(huì)受到影響。  

據(jù)介紹，從2021年至今，安天CERT（安全研究與應(yīng)急處理中心）在對(duì)來自南亞次大陸方向的攻擊事件進(jìn)行新一輪追蹤、梳理時(shí)，發(fā)現(xiàn)“Confucius”組織針對(duì)巴基斯坦政府、軍事機(jī)構(gòu)的攻擊活動(dòng)。在此次攻擊活動(dòng)中，攻擊者主要以巴基斯坦政府工作人員的名義向目標(biāo)投遞魚叉式釣魚郵件，釣魚郵件的內(nèi)容大多數(shù)與巴基斯坦政府有關(guān)，通過釣魚郵件內(nèi)容誘騙目標(biāo)下載、打開嵌入惡意宏代碼的文檔，從而向目標(biāo)機(jī)器植入開源木馬QuasarRAT、自研C++后門木馬、C#竊密木馬以及JScript下載者木馬，最終竊取情報(bào)。

“在跟蹤過程中我們陸續(xù)捕獲到‘Confucius’組織針對(duì)巴基斯坦進(jìn)行攻擊的樣本文件，比如2021年6月份利用巴基斯坦軍隊(duì)犧牲者名單有關(guān)內(nèi)容的惡意RTF文檔進(jìn)行攻擊；2022年2月份利用巴基斯坦政府員工Covid-19疫苗接種狀態(tài)表等有關(guān)內(nèi)容的宏文檔進(jìn)行攻擊。”李柏松稱，攻擊者在釣魚郵件的正文中、附件PDF文件中嵌入了不同類型的惡意鏈接，當(dāng)目標(biāo)查閱釣魚郵件后便會(huì)被攻擊者精心設(shè)計(jì)的郵件正文、PDF文件內(nèi)容誘騙，從而點(diǎn)擊惡意鏈接下載具有惡意宏代碼的文檔。

此外，安天通過對(duì)本次捕獲的“Confucius”組織惡意快捷方式樣本進(jìn)行全面解析，發(fā)現(xiàn)其與印度另一APT組織“SideWinder”進(jìn)行了工具、代碼共享。李柏松表示，“印度各大APT組織之間互相共享代碼、工具的情況已經(jīng)屢見不鮮。此前國外安全廠商也曾披露‘Confucius’組織、‘Urpage’組織以及‘白象’組織之間存在共享代碼、共享資產(chǎn)的關(guān)系。”

當(dāng)前，該起攻擊活動(dòng)已引起巴基斯坦相關(guān)政府部門注意，其中巴基斯坦國家電信和信息技術(shù)安全委員會(huì)（NTISB）已發(fā)出全國網(wǎng)絡(luò)威脅預(yù)警，稱攻擊者正在向政府官員和公眾發(fā)送模仿巴基斯坦總理辦公室的虛假網(wǎng)絡(luò)釣魚電子郵件，因此要求政府官員和公眾保持警惕，不要通過電子郵件或社交媒體鏈接提供任何信息。

（來源：環(huán)球時(shí)報(bào)-環(huán)球網(wǎng)  記者 郭媛丹）