美国网络安全巨头FireEye于本周二(4月22日)发文称,从至少2020年1月至2020年4月,越南黑客组织APT32(也称“海莲花”)对中国目标发起了网络间谍活动。作为活动的一部分,攻击者向中国应急管理部以及武汉市政府发送了鱼叉式网络钓鱼电子邮件。
包含恶意链接的网络钓鱼电子邮件以中国政府为目标
根据FireEye的说法,针对中国政府的第一波钓鱼行动开始于2020年1月6日。在当时,APT32使用发件人地址lijianxiang1870@163[.]com向中国应急管理部发送了包含恶意链接的网络钓鱼电子邮件。
图1.发送给中国应急管理部的网络钓鱼电子邮件
FireEye表示,基于这封电子邮件,他们还发现了如下所示的恶意链接:
- libjs.inquirerjs[.]com/script/@wuhan.gov.cn.png
- libjs.inquirerjs[.]com/script/@chinasafety.gov.cn.png
- m.topiccore[.]com/script/@chinasafety.gov.cn.png
- m.topiccore[.]com/script/@wuhan.gov.cn.png
- libjs.inquirerjs[.]com/script/@126.com.png
其中,libjs.inquirerjs[.]com这个域曾在2019年12月被用作METALJACK网络钓鱼活动的命令和控制(C2)域,在当时针对的是东南亚国家。
APT32可能还使用了以“COVID-19”为主题的恶意附件攻击中国目标
FireEye表示,他们发现了一个METALJACK加载程序,它在启动有效载荷时会打开一份标题为“冠状病毒实时更新:中国正在追踪来自湖北的旅行者”的中文诱饵文档,内容来自纽约时报的一篇文章。
图2.以“COVID-19”为主题的诱饵文件
在打开文档的同时,恶意软件还加载了包含在其他资源中的shell代码,以执行系统调查——收集受害者的计算机名和用户名,然后使用libjs.inquirerjs[.]com将这些值附加到一个URL字符串。
接下来,它将尝试调出URL。如果调用成功,则恶意软件会将METALJACK有效载荷加载到内存中。
再然后,它将使用vitlescaux[.]com用于命令和控制。
FireEye还表示,疫情之下,国家、州或省、地方政府以及非政府组织和国际组织都有可能成为全球网络间谍获得的攻击目标,而根据美国联邦调查局(FBI)一位副助理局长的公开声明,医学研究领域或将成为重灾区。
