經(jīng)過長達一年半的跟蹤分析，中國網(wǎng)安企業(yè)發(fā)現(xiàn)一支來自印度的APT（高級持續(xù)性網(wǎng)絡攻擊）組織針對巴基斯坦政府、軍事機構發(fā)起新的攻擊活動。該APT組織雖然來自印度，但其代號卻是“ Confucius”（孔子）。

中國網(wǎng)絡安全企業(yè)安天科技集團12日對《環(huán)球時報》記者表示，該組織來自印度，其攻擊活動最早可追溯至2013年，其主要針對中國、巴基斯坦、孟加拉國等印度周邊國家政府、軍事、能源等領域開展以竊取敏感資料為目的的攻擊活動。

有意思的是，國際安全廠商將該組織命名為“Confucius”。安天科技集團副總工程師李柏松表示，該攻擊組織在攻擊時用于偽裝傳遞攻擊指令和回連地址的頁面中帶有“Confucius says”字樣，即“子曰”，因此被命名為“Confucius”，“這表明攻擊者在持續(xù)攻擊中國過程中，也對中國的文化有所研究。‘Confucius’擅長使用魚叉式釣魚郵件、水坑攻擊以及釣魚網(wǎng)站，配合獨到的社會工程學手段對目標進行攻擊。”

APT組織以獲取政治、經(jīng)濟利益為出發(fā)點，竊取目標的核心資料，或者破壞對方關鍵基礎設施，其攻擊的影響不僅僅局限在虛擬的網(wǎng)絡世界，物理世界也會受到影響。  

據(jù)介紹，從2021年至今，安天CERT（安全研究與應急處理中心）在對來自南亞次大陸方向的攻擊事件進行新一輪追蹤、梳理時，發(fā)現(xiàn)“Confucius”組織針對巴基斯坦政府、軍事機構的攻擊活動。在此次攻擊活動中，攻擊者主要以巴基斯坦政府工作人員的名義向目標投遞魚叉式釣魚郵件，釣魚郵件的內(nèi)容大多數(shù)與巴基斯坦政府有關，通過釣魚郵件內(nèi)容誘騙目標下載、打開嵌入惡意宏代碼的文檔，從而向目標機器植入開源木馬QuasarRAT、自研C++后門木馬、C#竊密木馬以及JScript下載者木馬，最終竊取情報。

“在跟蹤過程中我們陸續(xù)捕獲到‘Confucius’組織針對巴基斯坦進行攻擊的樣本文件，比如2021年6月份利用巴基斯坦軍隊犧牲者名單有關內(nèi)容的惡意RTF文檔進行攻擊；2022年2月份利用巴基斯坦政府員工Covid-19疫苗接種狀態(tài)表等有關內(nèi)容的宏文檔進行攻擊。”李柏松稱，攻擊者在釣魚郵件的正文中、附件PDF文件中嵌入了不同類型的惡意鏈接，當目標查閱釣魚郵件后便會被攻擊者精心設計的郵件正文、PDF文件內(nèi)容誘騙，從而點擊惡意鏈接下載具有惡意宏代碼的文檔。

此外，安天通過對本次捕獲的“Confucius”組織惡意快捷方式樣本進行全面解析，發(fā)現(xiàn)其與印度另一APT組織“SideWinder”進行了工具、代碼共享。李柏松表示，“印度各大APT組織之間互相共享代碼、工具的情況已經(jīng)屢見不鮮。此前國外安全廠商也曾披露‘Confucius’組織、‘Urpage’組織以及‘白象’組織之間存在共享代碼、共享資產(chǎn)的關系。”

當前，該起攻擊活動已引起巴基斯坦相關政府部門注意，其中巴基斯坦國家電信和信息技術安全委員會（NTISB）已發(fā)出全國網(wǎng)絡威脅預警，稱攻擊者正在向政府官員和公眾發(fā)送模仿巴基斯坦總理辦公室的虛假網(wǎng)絡釣魚電子郵件，因此要求政府官員和公眾保持警惕，不要通過電子郵件或社交媒體鏈接提供任何信息。

（來源：環(huán)球時報-環(huán)球網(wǎng)  記者 郭媛丹）