惡毒熊貓

近幾個月來,網絡犯罪分子利用冠狀病毒的真實威脅傳播惡意軟件和勒索軟件的故事屢見不鮮。這些威脅已經在世界各地傳播,但特別是來自中國的威脅。以至於國家資助的中國黑客組織 Vicious Panda 已經開始通過冠狀病毒傳播他們自己的惡意軟件。

有關此次攻擊的信息來自 Check Point,該公司發表的研究表明,中國 APT 已將有關冠狀病毒的合法信息“武器化”,以將其惡意惡意軟件傳播給大眾。

第二次攻擊

Vicious Panda 攻擊實際上是過去幾週在中國出現的第二次與冠狀病毒 (COVID-19) 相關的主要惡意軟件活動。第一次發生在 3 月初,當時越南網絡安全組織 VinCSS 注意到 Mustang Panda 的攻擊。 Mustang Panda 是另一個中國國家資助的黑客組織。

他們的攻擊以分髮帶有附加 RAR 文件的電子郵件而聞名,該文件聲稱包含越南總理關于冠狀病毒的信息。 RAR 文件不包含任何類型的重要消息,而是包含一個後門木馬,該木馬將自身安裝在受害者的計算機上,並向黑客組織開放。

兇猛的熊貓襲擊蒙古政府

Check Point 發現了 Vicious Panda 的攻擊,他們說他們正在密切關注該組織,因為他們的目標是蒙古政府組織。與第一次攻擊一樣,該組織聲稱擁有用戶應下載以訪問的有關冠狀病毒的重要信息。

Check Point 能夠攔截來自“中國 APT 組織對蒙古公共部門實體”的網絡攻擊。這次攻擊利用了社會工程階段對冠狀病毒的恐懼。它包含兩份文件。其中一份文件與 COVID-19 有關,兩份文件都聲稱來自蒙古外交部。這些文件包含一個獨特的惡意軟件威脅,允許遠程訪問受害者的計算機。

熊貓垃圾郵件傳播有害軟件
電子郵件附件 - 來源:research.checkpoint.com

冰山一角

不幸的是,這次最新的攻擊並不是什麼新鮮事,只是眾所周知的冰山一角。黑客總是利用這些危機來發揮自己的優勢,因此他們無法抗拒利用 COVID-19。

據 Check Point 稱,最新的中國 APT 文件的標題是“關於新型冠狀病毒感染的傳播”。它引用了中國國家衛生委員會,以便顯得更真實和更有效。儘管有許多與 COVID-19 相關的網絡威脅,但這似乎是由國家資助的黑客組織針對外國政府發起的第一次威脅。

Check Point 表示,這次攻擊不僅是一系列與冠狀病毒相關的黑客攻擊中的最新一次,而且是中國黑客針對其他政府和組織正在進行的攻擊活動中的最新一次。不同之處在於,這個利用冠狀病毒作為部署方法的一部分。

此次攻擊被描述為“通過新的網絡感染鏈利用公眾對冠狀病毒的興趣為 [中國] 自己的議程謀取利益”。他們說 Vicious Panda 的目標是世界各地的國家——不僅僅是蒙古。他們敦促每個公共部門實體和電信公司對潛在的網絡威脅保持警惕,尤其是任何聲稱與冠狀病毒有關的威脅。

這些電子郵件和文件聲稱來自蒙古自己的政府內部。其中至少有一名聲稱來自外交部長。該運動針對蒙古公共部門的其他部分。該活動的目的似乎是從政府計算機中獲取信息和屏幕截圖,編輯和刪除文件,並遠程控制這些計算機。

Vicious Panda 勒索軟件如何工作?
惡意附件包含可以控制計算機的遠程訪問木馬 (RAT)。該木馬被編程為與命令和控制服務器的連接有限,這可能使其更難檢測。有效載荷的結構表明它可能包括其他模塊,這些模塊計劃稍後安裝,作為更大活動的一部分。從 Check Point 可以看出,攻擊中使用的惡意軟件是一種完全獨特且定制設計的毒株,但它的工作原理和作用是相當普遍的。

惡意軟件感染鏈
Vicious Panda 感染鏈 - 來源:research.checkpoint.com

Check Point 分解了戰役的其他部分,例如指揮和控制中心所在的位置。不過,歸根結底,這種惡意軟件無異於國家贊助的活動。它使用社會工程學來鼓勵用戶下載和打開附件。附件會加載另一個文件並為計算機安裝後門。然後,中國可以利用該後門監視政府目標。

網絡騙子將繼續利用中國和冠狀病毒

雖然頂級路標沒有提供足夠的信息來準確確定攻擊的幕後黑手,但 Check Point 深入研究了惡意軟件代碼,發現它與其他與中國相關的惡意軟件中使用的代碼相似。這些運動也針對中國的敵人。

中國 - 冠狀病毒的中心 - 在許多欺騙性方法中利用病毒為自己的優勢。不過,他們會使用冠狀病毒並不奇怪,因為它是目前威脅行為者可用的最好的社會工程工具。即使是普通的網絡犯罪分子也在他們自己的活動中利用它。

熱門

最受關注

加載中...