经过长达一年半的跟踪分析,中国网安企业发现一支来自印度的APT(高级持续性网络攻击)组织针对巴基斯坦政府、军事机构发起新的攻击活动。该APT组织虽然来自印度,但其代号却是“ Confucius”(孔子)。
中国网络安全企业安天科技集团12日对《环球时报》记者表示,该组织来自印度,其攻击活动最早可追溯至2013年,其主要针对中国、巴基斯坦、孟加拉国等印度周边国家政府、军事、能源等领域开展以窃取敏感资料为目的的攻击活动。
有意思的是,国际安全厂商将该组织命名为“Confucius”。安天科技集团副总工程师李柏松表示,该攻击组织在攻击时用于伪装传递攻击指令和回连地址的页面中带有“Confucius says”字样,即“子曰”,因此被命名为“Confucius”,“这表明攻击者在持续攻击中国过程中,也对中国的文化有所研究。‘Confucius’擅长使用鱼叉式钓鱼邮件、水坑攻击以及钓鱼网站,配合独到的社会工程学手段对目标进行攻击。”
APT组织以获取政治、经济利益为出发点,窃取目标的核心资料,或者破坏对方关键基础设施,其攻击的影响不仅仅局限在虚拟的网络世界,物理世界也会受到影响。
据介绍,从2021年至今,安天CERT(安全研究与应急处理中心)在对来自南亚次大陆方向的攻击事件进行新一轮追踪、梳理时,发现“Confucius”组织针对巴基斯坦政府、军事机构的攻击活动。在此次攻击活动中,攻击者主要以巴基斯坦政府工作人员的名义向目标投递鱼叉式钓鱼邮件,钓鱼邮件的内容大多数与巴基斯坦政府有关,通过钓鱼邮件内容诱骗目标下载、打开嵌入恶意宏代码的文档,从而向目标机器植入开源木马QuasarRAT、自研C++后门木马、C#窃密木马以及JScript下载者木马,最终窃取情报。
