印度网攻组织对巴基斯坦发起新攻击,代号竟是孔子

印度网攻组织对巴基斯坦发起新攻击,代号竟是孔子

00:00
03:29

  经过长达一年半的跟踪分析,中国网安企业发现一支来自印度的高级持续性网络攻击组织针对巴基斯坦政府、军事机构发起新的攻击活动。该网络攻击组织虽然来自印度,但其代号却是孔子。

  中国网络安全企业安天科技集团12日对《环球时报》记者表示,这一攻击组织的攻击活动最早可追溯至2013年,主要针对中国、巴基斯坦、孟加拉国等印度周边国家政府、军事、能源等领域开展以窃取敏感资料为目的的攻击活动。

  有意思的是,国际安全厂商将该组织命名为“孔子”。安天科技集团副总工程师李柏松表示,该攻击组织在攻击时用于伪装传递攻击指令和回连地址的页面中带有“子曰”字样,因此被命名为“孔子”,“这表明攻击者在持续攻击中国过程中,也对中国的文化有所研究。‘孔子’擅长使用鱼叉式钓鱼邮件、水坑攻击以及钓鱼网站,配合独到的社会工程学手段对目标进行攻击。”

  高级持续性网络攻击组织以获取政治、经济利益为出发点,窃取目标的核心资料,或者破坏对方关键基础设施,其攻击的影响不仅仅局限在虚拟的网络世界,物理世界也会受到影响。

  据介绍,从2021年至今,安天安全研究与应急处理中心在对来自南亚次大陆方向的攻击事件进行新一轮追踪、梳理时,发现“孔子”组织针对巴基斯坦政府、军事机构的攻击活动。在此次攻击活动中,攻击者主要以巴基斯坦政府工作人员的名义向目标投递鱼叉式钓鱼邮件,钓鱼邮件的内容大多数与巴基斯坦政府有关,通过钓鱼邮件内容诱骗目标下载、打开嵌入恶意宏代码的文档,从而向目标机器植入木马程序,最终窃取情报。

  “在跟踪过程中我们陆续捕获到‘孔子’组织针对巴基斯坦进行攻击的样本文件,比如2021年6月份利用巴基斯坦军队牺牲者名单有关内容的恶意RTF文档进行攻击;2022年2月份利用巴基斯坦政府员工新冠疫苗接种状态表等有关内容的宏文档进行攻击。”李柏松称,攻击者在钓鱼邮件的正文中、附件PDF文件中嵌入了不同类型的恶意链接,当目标查阅钓鱼邮件后便会被攻击者精心设计的邮件正文、PDF文件内容诱骗,从而点击恶意链接下载具有恶意宏代码的文档。

  此外,安天通过对本次捕获的“孔子”组织恶意快捷方式样本进行全面解析,发现其与印度另一高级持续性网络攻击组织“SideWinder”进行了工具、代码共享。李柏松表示,“印度各大高级持续性网络攻击组织之间互相共享代码、工具的情况已经屡见不鲜。此前国外安全厂商也曾披露‘孔子’组织、‘Urpage’组织以及‘白象’组织之间存在共享代码、共享资产的关系。”

  当前,该起攻击活动已引起巴基斯坦相关政府部门注意,其中巴基斯坦国家电信和信息技术安全委员会已发出全国网络威胁预警,称攻击者正在向政府官员和公众发送模仿巴基斯坦总理办公室的虚假网络钓鱼电子邮件,因此要求政府官员和公众保持警惕,不要通过电子邮件或社交媒体链接提供任何信息。

以上内容来自专辑
用户评论
  • 核污照出日心美心颜色

    叫它孔子组织不合适。

  • 常常_l1

    印度对中国极不友善

  • qzuser_NpAV

  • 听友242791331

    印度对我们一直都不友好