瑞星:境外APT组织再次对我国发起攻击

2019-10-18   

2019年10月,瑞星安全研究院通过瑞星威胁情报系统再次捕获到国际知名APT组织“响尾蛇”针对国内政府企业发起的三起攻击事件。该组织依然利用了Office远程代码执行漏洞(cve-2017-11882),通过钓鱼邮件等方式发起APT攻击,用户一旦中招,就会被攻击者远程控制,从而被盗取如电脑系统信息、安装程序、磁盘信息等内部机密数据资料。

2019年10月,瑞星安全研究院通过瑞星威胁情报系统再次捕获到国际知名APT组织“响尾蛇”针对国内政府企业发起的三起攻击事件。该组织依然利用了Office远程代码执行漏洞(cve-2017-11882),通过钓鱼邮件等方式发起APT攻击,用户一旦中招,就会被攻击者远程控制,从而被盗取如电脑系统信息、安装程序、磁盘信息等内部机密数据资料。

今年“响尾蛇”APT组织活跃频繁, 在9月份瑞星公司就已捕获了“响尾蛇”针对各国驻华大使馆以及某科技公司的APT攻击。此次瑞星捕获的攻击事件与上次的APT攻击手法基本一致,攻击目标也依然针对国内政府机构与国防科技企业。一起为将伪装的《中国人民解放军文职人员条例》的文档投放至国家政府部门;另一起则针对国内某国防科研企业,向其内部发送带有恶意软件的虚假管理文件;还有一起针对国防及军事等相关部门,向其发送虚假的“第九届北京香山论坛会议”议程。

图:伪装的《中国人民解放军文职人员条例》的文档
图:虚假的“第九届北京香山论坛会议”议程

据瑞星安全专家分析,由于今年恰逢新中国成立七十周年大庆,解放军文职人员军队首次亮相于国庆阅兵盛典,而这些文职人员又是国家军事人力支援的重要组成部分,在演习演训、远海护航、抢险救灾等方面发挥着重要作用,所以此次APT攻击很有可能与我国七十周年大庆有着密切的联系。同时,由中国军事科学学会主办的“国际安全合作与亚太地区安全”论坛(北京香山论坛)即将于今年10月底召开,规模较以往都更大,且我国国防部长及军队总长将参与其中,因此推测“响尾蛇”组织正企图通过本届会议窃取中国与国际各国之间军事政治等情报。

通过攻击者所针对的目标可以看出,国外APT组织是有目的性的在扰乱我国政府及国防的网络安全,而“响尾蛇”组织一直以窃取政府、能源、军事、矿产等领域的机密信息为主,因此推测其组织很有可能将窃取我国重要军事机密及科研成果,广大相关部门及企业应加强防范手段,切勿给对方可乘之机。

由于此类攻击主要针对政府及企业,利用了钓鱼邮件等手段,且目的以窃取内部机密信息为主,因此瑞星公司提出以下防范建议:

  1. 不打开可以邮件,不下载可疑附件;
  2. 部署网络安全态势感知、预警系统等网关安全产品;
  3. 安装有效的杀毒软件,拦截查杀恶意文档和木马病毒;
  4. 及时修补系统补丁和重要软件的补丁。

[责任编辑:瑞瑞]