“在跟踪过程中我们陆续捕获到‘Confucius’组织针对巴基斯坦进行攻击的样本文件,比如2021年6月份利用巴基斯坦军队牺牲者名单有关内容的恶意RTF文档进行攻击;2022年2月份利用巴基斯坦政府员工Covid-19疫苗接种状态表等有关内容的宏文档进行攻击。”李柏松称,攻击者在钓鱼邮件的正文中、附件PDF文件中嵌入了不同类型的恶意链接,当目标查阅钓鱼邮件后便会被攻击者精心设计的邮件正文、PDF文件内容诱骗,从而点击恶意链接下载具有恶意宏代码的文档。
此外,安天通过对本次捕获的“Confucius”组织恶意快捷方式样本进行全面解析,发现其与印度另一APT组织“SideWinder”进行了工具、代码共享。李柏松表示,“印度各大APT组织之间互相共享代码、工具的情况已经屡见不鲜。此前国外安全厂商也曾披露‘Confucius’组织、‘Urpage’组织以及‘白象’组织之间存在共享代码、共享资产的关系。”
当前,该起攻击活动已引起巴基斯坦相关政府部门注意,其中巴基斯坦国家电信和信息技术安全委员会(NTISB)已发出全国网络威胁预警,称攻击者正在向政府官员和公众发送模仿巴基斯坦总理办公室的虚假网络钓鱼电子邮件,因此要求政府官员和公众保持警惕,不要通过电子邮件或社交媒体链接提供任何信息。
