近日，瑞星威脅情報(bào)中心捕獲到“蔓靈花”APT組織針對(duì)我國(guó)軍工行業(yè)發(fā)起的APT攻擊事件。通過(guò)分析發(fā)現(xiàn)，攻擊者試圖通過(guò)魚(yú)叉式釣魚(yú)攻擊來(lái)投遞wmRAT后門(mén)程序，以達(dá)到竊取我國(guó)軍事機(jī)密的目的。在此，瑞星公司提醒相關(guān)政府部門(mén)及企業(yè)應(yīng)提高警惕，加強(qiáng)防范。

APT組織介紹：

“蔓靈花”組織又稱(chēng)為“BITTER”，是一支具有南亞背景的APT組織，疑似來(lái)自印度。它至少自2013年起就開(kāi)始對(duì)目標(biāo)發(fā)動(dòng)網(wǎng)絡(luò)攻擊，攻擊目標(biāo)包含中國(guó)、巴基斯坦等國(guó)家，涉及行業(yè)有政府、軍事、能源等，其主要的攻擊意圖是為了竊取敏感資料。

瑞星發(fā)現(xiàn)，此次事件中的攻擊武器為“蔓靈花”組織開(kāi)發(fā)的wmRAT后門(mén)程序，以此可以判定本次攻擊的始作俑者為“蔓靈花”組織。

攻擊過(guò)程：

在此次攻擊中，“蔓靈花”組織向我國(guó)軍工行業(yè)投遞帶有惡意程序的釣魚(yú)郵件，該郵件附件內(nèi)含有惡意的CHM文件，一旦有受害者點(diǎn)擊這個(gè)CHM文件，就會(huì)在本地創(chuàng)建計(jì)劃任務(wù)。該計(jì)劃任務(wù)會(huì)設(shè)定每隔15到20分鐘與攻擊者遠(yuǎn)程服務(wù)器通信一次，繼而下載MSI文件，向受害者電腦內(nèi)植入wmRAT后門(mén)程序。

“蔓靈花”組織可以利用wmRAT后門(mén)對(duì)目標(biāo)進(jìn)行長(zhǎng)期的控制，竊取并回傳機(jī)密數(shù)據(jù)和隱私信息，同時(shí)還可以借此投放其他惡意程序，實(shí)施其他攻擊行為。

圖：攻擊流程

攻擊武器：

wmRAT后門(mén)程序作為“蔓靈花”組織的標(biāo)志性武器，于2022年被首次披露，披露時(shí)遠(yuǎn)控指令只有16個(gè)，并且有一半的指令無(wú)實(shí)際功能，這表明“蔓靈花”組織正在積極開(kāi)發(fā)該后門(mén)程序。wmRAT后門(mén)設(shè)計(jì)巧妙，不僅可以規(guī)避靜態(tài)查殺，還可以規(guī)避沙箱的行為檢測(cè)。此次攻擊中的wmRAT后門(mén)具備了截取屏幕圖像、上傳文件數(shù)據(jù)、獲取指定URL頁(yè)面內(nèi)容、遍歷磁盤(pán)、下載文件等惡意功能，因此具有很強(qiáng)的威脅性。

防范建議：

由于此次“蔓靈花”組織專(zhuān)門(mén)針對(duì)我國(guó)軍工行業(yè)發(fā)起攻擊，試圖盜取國(guó)家機(jī)密信息并安裝間諜軟件，嚴(yán)重威脅到了國(guó)家安全，因此相關(guān)政府部門(mén)及企業(yè)應(yīng)加大防范力度，做到以下幾點(diǎn)：

1. 不打開(kāi)可疑文件。

不打開(kāi)未知來(lái)源的可疑的文件和郵件，防止社會(huì)工程學(xué)和釣魚(yú)攻擊。

2. 部署EDR、NDR產(chǎn)品。

利用威脅情報(bào)追溯威脅行為軌跡，進(jìn)行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，以便更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶(hù)不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶(hù)的終端安全。

圖：瑞星ESM防病毒終端安全防護(hù)系統(tǒng)查殺相關(guān)病毒

4. 及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。

許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來(lái)進(jìn)行傳播，及時(shí)安裝補(bǔ)丁將有效減少漏洞攻擊帶來(lái)的影響。

關(guān)鍵詞：