没想到,“一条IOC”的APT阻击战

2022-10-13 15:34

BITTER,国外著名的APT组织,因其常用的特殊木马数据包报头为“BITTER”而得名。近一两年一直在对国内重点行业单位进行钓鱼攻击,其中有各种各样的攻击,横跨PC到移动,通常的方法是钓鱼邮件攻击,其中可能携带钓鱼网站或恶意附件。

疫情爆发以来,曼凌华组织从2020年初开始制作防疫诱饵,攻防战仍在继续。

一闹,曼玲华组织泄露了狐狸尾巴

2020年10月的一个深夜,一台办公电脑收到了一封合作公司的业务邮件。


“合同终于发过来了。”大李端起咖啡杯轻抿了一口,兴奋地说。为了这一次合作,大李一个月来都没怎么好好休息过。


就在大李打开附件后不久,电脑上安装的奇安信天擎终端安全管理系统弹出了一个窗口。




“中病毒了?不,我什么也没做,是吗?”想到这里,大李打了个寒颤,赶紧关掉电脑拔掉网线,拨通了公司网络安全负责人老k的电话。
“嗯,我知道了。”老K甚至来不及洗把脸,往公司飞奔而去。盯着天擎管理后台的告警记录,老K心里咒骂着,稍有平复,拨通了4009-727-120。窗外,夜已深了。
“你好,你好!这里是长安新应急中心……”
恰在此时,南亚地区APT组织蔓灵花的总部也“热闹非凡”。
????“你赢了几个终端?”一个中年人从里屋出来说道。
“还没。这轮攻击刚开始,钓鱼邮件发出去没多久,估计还需要一段时间。”
“嗯,留意一下。我估计诱饵很快就会看到效果。”中年人看了一眼旁边的机房。“这一次,我们肯定能挖到我们没想到的东西。”
“放心吧,这几年哪次不是手到擒来。来了,C2(命令与控制,Command And Control)服务器后台有反应了……”
还原犯罪现场,一场有预谋的社会工程袭击
“嚯!这蔓灵花组织又来了。”收到客户求助电话后,奇安信第一时间启动了应急响应程序,威胁情报中心随即针对样本和攻击手法展开了溯源分析工作,最终锁定了蔓灵花APT组织。
自2016年首次披露以来,Chianxin威胁情报中心和曼凌华组织已经承担了数十次。
“从这几年和蔓灵花交手的经验来看,我们发现了他们攻击手法的几个特点。”奇安信威胁情报中心负责人Star称。
第一种是发送伪装成目标公司邮箱的登录界面的钓鱼网站,通过钓鱼网站控制目标用户的邮箱账号,从而窃取敏感信息。
第二类主要是发送带毒附件,释放专用下载器下载其特种木马。蔓灵花组织会利用自有的C2服务器,远程控制木马完成敏感信息窃取任务,并回传至自有的服务器中。
为了提高目标的成功率,曼凌华组织非常擅长伪装。他们会在一个当前热点事件的“外壳”上添加诱饵,从而吸引目标的注意力。如本文开头所述,今年疫情爆发后,曼凌华组织多次利用疫情热点话题向目标发送钓鱼邮件,至今仍未停止。