您好!欢迎来到北极熊网

北极熊网

热门搜索: 任正非传    神雕侠侣    红楼梦   

安恒猎影实验室发现蔓灵花APT组织疑似伪装我国攻击孟加拉国

  • 今日头条
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-02 21:40
  • 阅读:161

蔓灵花组织介绍

蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及周边南亚各国的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。

近期,安恒安全数据部猎影实验室捕获到多个疑似蔓灵花组织的活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似,延续了其一贯的攻击特征。

蔓灵花组织利用得到权限的巴基斯坦、孟加拉国政府邮箱发起网络攻击活动,我们发现其中一处回连域名使用了中文拼音,疑似伪装为我国进行攻击。

伪装的域名邮件曝光

此次猎影实验室捕获了多个邮件样本,这些邮件的收件人都为孟加拉政府机构邮箱,根据发件人情况,可以分为两类:一类邮件发送自巴基斯坦政府机构邮箱账号,另一类邮件发送自孟加拉政府机构邮箱账号。

01来自巴基斯坦的邮件:

在这批样本中,最早的发件时间为2021年9月1日,从发往dddata_int@rab.gov.bd,发件人名和邮箱伪装成了rab 3 tikatuly(RAB-3 提卡图利部队)

这批邮件使用不同来自巴基斯坦的官方邮箱账号,伪装成快速反应部队(RAB)的邮箱账号,进行钓鱼活动。这些邮件的共同点在于使用同样的伪装名称,都是伪装成来自RAB部队在孟加拉其他营地的正常申请。

02来自孟加拉的邮件:

随后在2月初,我们陆续发现了来自孟加拉官方邮箱的钓鱼邮件,这些邮件发送人名为“Mohiuddin Ahmad”,邮箱号为mohiuddin@ssf.gov.bd

在诱饵邮件中自称来自特殊安全部队的空军上尉,向孟加拉政府内的多个重点账户发送。这也是我们发现的首封发送自孟加拉政府邮箱的邮件。

后续也发现了几封使用同一账号发送的邮件,投递目标也都为孟加拉政府重点单位邮箱,比如下图以“特殊安全部队联合行动”为主题的钓鱼邮件。

目标瞄准孟加拉快速行动营

01攻击呈递进分析

对比在这封邮件前后捕获得到的钓鱼邮件的收件人信息,可以明显发现攻击的递进情况。一开始,蔓灵花组织利用已经获得的巴基斯坦政府邮箱对孟加拉快速反应部队的几个对外邮箱进行邮件钓鱼,邮件的收发人情况见下图:

前期的攻击重点对象为opsoffr_rab14@rab.gov.bd账号,整体情况见下图:

02目标指向(RAB)孟加拉快速行动营

蔓灵花组织在持续一段时间的攻击之后,得到了孟加拉政府部分失陷的内部邮箱账号,并借此扩大对孟加拉国的快速反应部队(RAB)的重点邮箱账号的横向钓鱼攻击。

(RAB)孟加拉快速行动营

这一系列攻击的目标指向了孟加拉快速行动营,快速行动营或RAB是孟加拉国警察的精英反犯罪和反恐单位。

RAB部队共有15个营规模的野战部队,在本次我们捕获的样本中,发现了发件人伪装成RAB-3、RAB-5和RAB-13的钓鱼邮件。

巴基斯坦与孟加拉分别位于印度的东西两侧,同时两国在历史上也有着一定的渊源。本次针对孟加拉军方的攻击活动,来源于蔓灵花针对巴基斯坦的长期渗透中所获得的一处跳板。蔓灵花在利用该跳板攻入一定目标后,又迅速利用钓鱼扩大入侵范围。

本次事件在钓鱼的手法上,与近期安恒安全数据部猎影实验室捕获的借用尼泊尔湿婆节题材等相关诱饵发起的网络攻击活动样本(https://ti.dbappsecurity.com.cn/blog/articles/2022/03/11/bitter-nepal-army-day/),十分相似。在那次的攻击活动中,蔓灵花组织借用攻击活动中得到的尼泊尔官方湿婆节邀请函制作诱饵,对巴基斯坦的政府以及核能人员,发起定向攻击。

蔓灵花组织在这些年长期针对巴基斯坦与我国发起攻击,也在这些年的攻击活动中,得到不少可以用作跳板资产。而近期蔓灵花的活动,也表现了该组织似乎开始借助这些年攻击活动中积累各类入侵成果,不断扩大自己的攻击范围和提升攻击的迷惑性。

防范建议

上述报告主要为疑似蔓灵花对其他国家的攻击,但是不排除会采用相同的手法和工具对我国发起攻击。我们需要:

1、基于高级威胁以及攻击的视角,了解攻击者可能的目标、工具、方法以及所掌握的传输武器的互联网基础设施情况,真正做到知己知彼,有针对性地进行防御、检测、响应和预防。

2、基于高级威胁可见性以及对网络威胁的全面理解, 可以快速发现攻击事件,采取迅速、果断的行动预防或处置重要、相关的威胁。 目前安全数据部已实现相关威胁检测能力,对应产品已完成能力集成:

更多IOC 以及钓鱼邮件附件详细分析

点击“阅读原文”或者参看链接:

https://ti.dbappsecurity.com.cn/blog/articles/2022/04/24/bitter-attack-bd/


全部评论(0)
资讯详情页最新发布上方横幅
推荐阅读
  • 如何使用presshell在WordPress主机上执行Shell命令
  • 如何使用presshell在WordPress主机上执行Shell命令
  • 关于presshellpresshell是一款针对WordPress的Shell工具,该工具可以帮助广大研究人员上传Shell文件,并在WordPress服务器/主机上轻松执行Shell命令。注意,上传Shell的路径为“/wp-content/plugins/shell/shell.php”。工具下载广大研究人员可以使用下列命令将该项目源码克隆至本地:git clone https
  • 技术文档
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-06 20:36
  • 阅读:244
  • 为什么黑客如此“钟爱”跨链桥
  • 为什么黑客如此“钟爱”跨链桥
  • 0x1背景介绍随着区块链及链上程序的增长,多链资金转换需求迫切,跨链桥业务随之增加,有业务的地方就会有安全问题,跨链桥为用户提供便利的同时,可能也为黑客提供了另一扇大门,PolyNetwork攻击事件发生后,跨链桥安全问题也随之显露出来。0x2什么是跨链桥?区块链桥,也称为跨链桥,连接两条区块链,允许用户将加密货币从一条链发送到另一条链。跨链桥通过在两个独立平台之间启用代币转移、智能合约和数据交换以及其他反馈和指令来进行资金跨链操
  • 技术文档
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-06 20:34
  • 阅读:189
  • EvilSelenium:一款功能强大的Chromium浏览器渗透测试工具
  • EvilSelenium:一款功能强大的Chromium浏览器渗透测试工具
  • 关于EvilSeleniumEvilSelenium是一款基于Selenium的渗透测试工具,该工具基于武器化的Selenium实现其功能,可以帮助广大研究人员针对基于Chromium的浏览器进行安全分析和渗透测试。功能介绍1、通过autofill获取存储的凭证信息;2、获取Cookie数据;3、获取网站屏幕截图;4、导出Gmail/O365电子邮件数据;5、导出Whats*App消息;6、下载&提取文件信息;7、向GitHub
  • 技术文档
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-06 20:33
  • 阅读:216
  • 针对贸易行业的情报刺探活动
  • 针对贸易行业的情报刺探活动
  • 概述奇安信威胁情报中心在日常威胁发现过程中发现一个专门针对贸易行业进行攻击的团伙,主要目的为获取情报,攻击手段较为单一,发送带有恶意lnk文件的钓鱼邮件进行传播,今年以来较为活跃,我们将其命名为APT-Q-12。此次攻击捕获的活动样本有如下特点:使用鱼叉邮件投递恶意压缩包,使用LNK文件进行cisid劫持。使用FileRun框架或者第三方平台托管样本攻击成功后使用AES加密进行信息传递。目前无法从C2获取最终的payload,故境内暂无
  • 今日头条
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-02 21:42
  • 阅读:244
  • 安恒猎影实验室发现蔓灵花APT组织疑似伪装我国攻击孟加拉国
  • 安恒猎影实验室发现蔓灵花APT组织疑似伪装我国攻击孟加拉国
  • 蔓灵花组织介绍蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及周边南亚各国的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。近期,安恒安全数据部猎影实验室捕获到多个疑似蔓灵花组织的活动样本。该批样本无论在攻击手法或者武器代码等方面都与该组织此前的攻击活动极为相似,延续了其一贯的攻击特征。蔓灵花组织利用得到权限的巴基斯坦、孟加拉国政府邮箱发起网络攻击活动,我们发现其中一处回连域名使
  • 今日头条
  • 来源:北极熊
  • 编辑:佚名
  • 时间:2022-05-02 21:40
  • 阅读:162
联系我们
电话:18936411277
邮箱:1044412291@qq.com
时间:09:00 - 19:00
公众号:北格软件
底部广告