近日，瑞星威脅情報(bào)平臺(tái)捕獲到一起針對(duì)尼泊爾政府的攻擊事件，通過(guò)對(duì)比分析發(fā)現(xiàn)，此次事件的攻擊者為SideWinder組織。該組織將仿造的總理行程釣魚郵件發(fā)送給尼泊爾政府機(jī)構(gòu)，以此誘導(dǎo)目標(biāo)點(diǎn)擊，從而激活遠(yuǎn)控后門，達(dá)到盜取政府機(jī)密信息的目的。

目前，瑞星終端威脅檢測(cè)與響應(yīng)系統(tǒng)（EDR）能夠可視化地還原此次攻擊事件，通過(guò)威脅調(diào)查功能，讓用戶從任意節(jié)點(diǎn)和關(guān)鍵元素對(duì)整個(gè)攻擊進(jìn)行追溯和梳理，全方位了解每一步進(jìn)程，以此來(lái)提升防范網(wǎng)絡(luò)攻擊的能力。

圖：瑞星EDR還原尼泊爾政府被攻擊事件的整個(gè)流程

APT組織介紹

瑞星安全專家介紹，SideWinder是一個(gè)至少?gòu)?012年就開始進(jìn)行網(wǎng)絡(luò)攻擊的威脅組織，又被稱為響尾蛇、T-APT-04、Rattlesnake和APT-C-17，是現(xiàn)今最活躍的組織之一。該組織主要從事信息竊取和間諜活動(dòng)，攻擊目標(biāo)集中在中國(guó)、巴基斯坦、阿富汗、錫蘭、緬甸等國(guó)家，涉及行業(yè)多為政府部門、國(guó)防、醫(yī)療和科技公司等。據(jù)瑞星監(jiān)測(cè)發(fā)現(xiàn)，SideWinder組織就曾仿冒外交部和商務(wù)部對(duì)國(guó)內(nèi)政府機(jī)關(guān)發(fā)起釣魚攻擊，但并未成功。

圖：瑞星監(jiān)測(cè)到SideWinder組織曾對(duì)中國(guó)發(fā)起過(guò)APT攻擊

攻擊方式

在此次事件中，攻擊者將仿造的“尼泊爾總理普什帕·卡邁勒·達(dá)哈爾行程信息”通過(guò)郵件發(fā)送給尼泊爾政府機(jī)構(gòu)，以騙取相關(guān)人員的信任。一旦點(diǎn)擊郵件附件，就會(huì)啟動(dòng)其中的惡意宏代碼，而后釋放出后門病毒和腳本文件。當(dāng)后門病毒被腳本啟動(dòng)后，就會(huì)通過(guò)HTTP協(xié)議與服務(wù)器進(jìn)行通信，接收由攻擊者發(fā)來(lái)的指令，對(duì)受害者電腦進(jìn)行遠(yuǎn)程控制，盜取所有的機(jī)密信息與數(shù)據(jù)。

圖：仿造成尼泊爾總理行程信息的誘餌文檔

后門病毒的特點(diǎn)

此次攻擊者所使用的后門病毒是由Nim語(yǔ)言編寫，其優(yōu)勢(shì)是增加了安全人員的分析難度，降低了安全軟件的檢測(cè)率，是目前很多攻擊組織喜歡的新型開發(fā)語(yǔ)言。

防范建議：

瑞星安全專家表示，由于SideWinder組織的主要攻擊目標(biāo)包括我國(guó)，因此政府部門和國(guó)家重點(diǎn)行業(yè)都應(yīng)提高警惕，謹(jǐn)防釣魚郵件和遠(yuǎn)控后門導(dǎo)致的機(jī)密信息及數(shù)據(jù)被盜風(fēng)險(xiǎn)。

1. 不打開可疑文件。

不打開未知來(lái)源的可疑的文件和郵件，防止社會(huì)工程學(xué)和釣魚攻擊。

2. 部署EDR、NDR產(chǎn)品。

利用威脅情報(bào)追溯威脅行為軌跡，進(jìn)行威脅行為分析，定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網(wǎng)絡(luò)威脅，最大范圍內(nèi)發(fā)現(xiàn)被攻擊的節(jié)點(diǎn)，以便更快響應(yīng)和處理。

3. 安裝有效的殺毒軟件，攔截查殺惡意文檔和惡意程序。

殺毒軟件可攔截惡意文檔和惡意程序，如果用戶不小心下載了惡意文件，殺毒軟件可攔截查殺，阻止病毒運(yùn)行，保護(hù)用戶的終端安全。

圖：瑞星ESM防病毒終端安全防護(hù)系統(tǒng)查殺相關(guān)病毒

及時(shí)修補(bǔ)系統(tǒng)補(bǔ)丁和重要軟件的補(bǔ)丁。許多惡意軟件經(jīng)常使用已知的系統(tǒng)漏洞、軟件漏洞來(lái)進(jìn)行傳播，及時(shí)安裝補(bǔ)丁將有效減少漏洞攻擊帶來(lái)的影響。

關(guān)鍵詞：