近日监测发现,境外APT组织伪装成境内外学术期刊、业内知名专家等方式进行钓鱼邮件攻击,发送携带恶意链接或附件的邮件,窃取受害者邮箱账号密码,并对其个人终端设备进行入侵控制,进而窃取敏感数据等。现将有关攻击手法和特征通报如下。
一、攻击者手法特征
1.伪装境内外学术期刊钓鱼。攻击者利用受害者急于出版论文的心态,结合受害单位研究方向,伪装成学术期刊编辑,向论文作者发送“论文校对”“论文确认”等主题的邮件,邮件包含论文投递时间、在线发表地址等信息,以及攻击者插入的钓鱼链接或恶意附件,进而达到攻击窃密目的。已发现攻击者伪装的期刊和出版社有9个。
2.伪装境外业内专家钓鱼。攻击者模仿航空航天领域国外某知名教授,向国内航空航天相关专业老师发送学术会议邀请函,并以“核对参会人信息”等方式,向受害者发送带有恶意链接和附件的邮件,诱导受害者点击下载。
3.U盘跨网传播恶意程序。攻击者除发送钓鱼邮件外,还向受害者个人主机植入可通过U盘传播的恶意程序,当检测到受害者主机接入新的U 盘等移动存储设备时,恶意程序自身将复制到新设备中并伪装成名为“私人图片.png”的图片,引诱其他使用该U盘的受害者点击,进而实现跨网传播。
4.高度定制化木马程序。攻击者通过钓鱼邮件成功入侵受害主机后,收集受害主机详细信息,后续对文档窃取程序进行定制化开发,窃取受害者主机指定目录下的文件和数据。在已掌握恶意样本程序中发现含有“最近使用文档”“微信聊天文件”等路径,窃取文件目标明确。
5.使用第三方平台分发恶意程序。攻击者在第三方代码平台GitHub上注册多个账号,建立恶意代码仓库,在攻击过程中多次使用GitHub代码平台下发恶意程序,并通过更新仓库中配置文件,对恶意程序进行远程控制。
二、有关问题隐患和防护建议
为有效防范境外 APT组织对教育系统航空航天等重点领域网络攻击窃密活动,请各单位重点做好以下工作:一是加强网络安全培训,提升人员安全防护意识;二是强化邮箱安全管理,采用多因子登录认证,配置邮箱防护设备和策略,及时发现异常邮件和登录行为,封堵钓鱼网站和木马回连IP、域名等。三是加强网络安全监测等工作,发现重大网络安全事件及时上报部网信办。