越南外交部回應:指控毫無根據!
數據猿報道 4月22日,位於美國加州米爾皮塔斯市的網絡安全公司火眼(FireEye)發佈報告稱,疑似由越南政府協助,代號為APT32(OceanLotus Group)的黑客組織,針對中國應急管理部以及武漢市政府工作人員的個人與辦公郵箱帳戶,發起魚叉式網絡釣魚郵件的方式植入病毒,試圖獲取新冠病毒(COVID-19)相關的數據情報。
據火眼報告顯示,在今年1月至4月期間,APT32向中國境內上述機構與個人發出了釣魚郵件,引導電郵用戶進入工作設備網頁。用戶如果點擊了這個釣魚電郵,黑客就會得到反饋,就會在該電郵用戶的電腦上植入惡意軟件。而一旦黑客植入惡意軟件,黑客就可以複製這些儲存在政府相關網絡系統中的病毒數據。
報告還指出,自從發生新冠病毒疫情以來,此類黑客攻擊範圍不斷擴大,除了在中國,還有很多發生在東亞和世界其它地方。“國家、省和地方政府,以及非政府組織和國際組織都會成為黑客的目標。“”在疫情結束之前,此類網絡間諜活動將會在全球範圍繼續下去,甚至更加嚴重。
目前,已知的第一個實例發生在今年1月6日,APT32向我國應急管理部發送了帶有嵌入式跟蹤鏈接的郵件,發件人地址為lijianxiang1870 @163.com,主題是“辦公設備招標”。嵌入的鏈接也包含了受害者的電子郵件地址和代碼。
發給中國應急管理部的網絡釣魚電子郵件
其他相關URL有:
libjs.inquirerjs [.] com / / @ wuhan.gov.cn.png
libjs.inquirerjs [.] com / / @ chinasafety.gov.cn.png
m.topiccore [.] com / / @ chinasafety.gov.cn.png
m.topiccore [.] com / / @ wuhan.gov.cn.png
libjs.inquirerjs [.] com / / @ 126.com.png
另外,APT32還針對中國目標直接使用了以COVID-19為主題的惡意附件。雖然還沒有發現完整的執行鏈,但是找到了一個METALJACK加載器,在啟動有效載荷時會顯示一箇中文文檔。
當METALJACK加載程序krpt.dll(MD5:d739f10933c11bd6bd9677f91893986c)加載時,可能會調用導出“ _force_link_krpt”。加載程序執行其嵌入式資源之一,一個COVID為主題的RTF文件,向受害者顯示內容並將文檔保存到%TEMP%。
誘餌文檔標題為“冠狀病毒實時更新:中國正在追蹤來自湖北的旅行者”的誘餌文檔,MD5:c5b98b77810c5619d20b71791b820529
該惡意軟件還會把shellcode加載到附加MD5中加:a4808a329b071a1a37b8d03b1305b0cb,其中包含METALJACK有效載荷。Shellcode通過執行系統調查收集受害者的計算機名和用戶名,然後使用libjs.inquirerjs [.] com將這些值附加到URL字符串,再嘗試調出URL。如果調用成功,惡意軟件就會將METALJACK有效載荷加載到內存中。最後,使用vitlescaux[.]com進行命令和控制。
但在昨日,越南外交部副發言人吳全勝(Ngo Toan Thang)否認了這一指控,並在當天例行記者會上說:“這項指控毫無根據,越南禁止一切網絡攻擊行為,這類行動應當予以譴責,並嚴格依法處理。2018年,越南國會就通過了《網絡安全法》,並正在完善相關實施細則,力爭杜絕網絡攻擊行為。越南願與國際同行合作,共同打擊網絡攻擊犯罪。”
越南外交部副發言人吳全勝(Ngo Toan Thang)
不過,來自火眼和其他網絡安全公司的調查人員稱,APT32替越南政府工作。近期的活動也證明了許多獲國家支持的黑客組織企圖破壞政府、企業和衛生機構,以尋找新冠肺炎信息,並嘗試應對這個疾病。
火眼旗下的Mandiant威脅情報部門分析高級主管John Hultquist說,目前尚不清楚入侵行動是否成功,但攻擊事件顯示,從網絡罪犯到國家支持的間諜不得不迅速重組操作模式,以應對新冠肺炎疫情。
美國外交關係委員會網絡安全專家Adam Segal認為,黑客攻擊活動表明,越南河內地區在網絡空間行動一直都很迅速。
另外,美國聯邦調查局(FBI)也在近期透露,發現有美國以外的黑客組織到處入侵美國醫學研究機構,試圖盜取新冠疫苗研發進度的數據,有關攻擊組織背後存在外國政府的支持。
據外媒報道,世界衛生組織(WHO)的高級官員近期也成為了黑客攻擊的目標。世衛組織的安全團隊注意到,自3月中旬以來黑客攻擊數量有明顯增加。黑客攻擊的目標包括世衛組織總幹事Tedros Adhanom Ghebreyesus,以及助理總幹事 Bruce Aylward。Bruce Aylward也是世衛組織赴中國考察專家組的負責人。
此外,黑客最近還持續嘗試入侵四名世衛組織在韓國工作的團隊所使用的計算機,以及針對聯合國日內瓦總部工作人員的攻擊。
報道還稱,黑客正在尋找的目標是參與防控新冠肺炎的工作的主要官員。以色列、歐盟、英國和瑞士近期也曾向世衛組織發出提醒,稱其系統遭到了網絡攻擊,國際刑警組織和微軟也將根據收集的數據情報向世衛組織預警。
