▍事件概览
检测发现,去年11月起,有境外黑客利用多个攻击资产对我国12个省中18个地市的多个目标展开攻击,这些攻击可能导致数据泄露风险的增加。进一步回溯历史攻击并进行实时风险状态发现,攻击者在2022年11月至2023年2月期间,利用了国内某防火墙的漏洞,针对我国医疗、能源、化工、地质、基建等关键行业的23个高价值目标进行了攻击。由于本次APT攻击行动涉及目标范围大,影响范围广且始于2022年11月,与2022年的“尼格”热带风暴登陆时间相近,因此,本次攻击行动被命名为“尼格风暴”。
经过多方的归因分析,本次APT攻击被认为是由具有越南政府背景的黑客组织“海莲花”所为。海莲花组织(APT32,又称OceanLotus)是一家活跃在东南亚地区的黑客组织,他们的攻击目标主要集中在政府、外交、商业和人权组织等领域。该组织被认为与越南政府有联系,但这一点尚未得到证实。
海莲花组织利用其攻击技术和资源,在近几年对中国关键行业的高价值目标进行了有组织、有计划、有针对性的长时间不间断攻击,包括科研院所、海事机构、海域建设、航运企业等领域,攻击意图明显,具有较强的地缘政治倾向。该事件对我国的网络安全和信息安全带来了严重威胁和挑战,需要高度重视并采取有效措施进行应对和防范。
▍攻击方式
海莲花组织主要通过鱼叉攻击和水坑攻击等方法,向境内特定目标人群传播木马程序,秘密控制目标用户的电脑系统,窃取系统中关键领域的机密资料:
-
鱼叉攻击:鱼叉攻击是一种专门针对个人或组织的攻击方式,黑客会利用社交工程等手段,向目标用户发送看似合法的邮件、短信、社交媒体信息等,诱骗用户点击链接或下载附件,从而感染恶意软件或泄露敏感信息。鱼叉攻击的特点是攻击手段隐蔽,攻击对象精准,攻击成功率较高。
-
水坑攻击:水坑攻击是一种专门针对特定网站或应用程序的攻击方式,黑客会利用漏洞或社交工程等手段,将恶意代码植入目标网站或应用程序中,一旦用户访问该网站或应用程序,就会被感染恶意软件或泄露敏感信息。水坑攻击的特点是攻击手段隐蔽,攻击范围广泛,攻击成功率较高。
海莲花还使用了一些先进的技术,如零日漏洞和定制的恶意软件,以规避安全防护措施。该组织在攻击中经常使用内部工具和技术,如BITSAdmin、regsvr32和PowerShell等,从而使其攻击更加难以检测和溯源。
▍企业应保持高度警惕
海莲花的活动已经引起了国际社会的关注和警惕。许多国家和组织都采取了措施来保护自己免受该组织的攻击。海莲花的攻击目标广泛,可能会随时对中国企业和组织发动网络攻击。
企业安全防御常见的误区是认为这些黑客组织应该不会攻击我们,我们不会成为他们的目标,却忽略了这些黑客组织一旦被公开命名后意味着他们的攻击手法也是被公开的,全球范围内的黑客或白帽以及渗透测试的服务人员都有机会看到并学习使用这些攻击手法。而且,不同的黑客组织可能会采用类似的被证明是行之有效的攻击手法,还能造成迷惑性而导致溯源的困难。黑客攻击的手法和方法是多种多样的,因此,企业需要保持高度警惕,尽可能地关注所有已被公开命名黑客组织的攻击手法和技术,以及黑客攻击的趋势和最新年的重大漏洞,及时更新自身的安全措施,加强安全监测和预警,避免黑客实现的长期潜伏达到其攻击目的,从而减少自己的损失。
塞讯安全度量验证平台的模拟攻击库覆盖所有已命名的APT、UNC、FIN、特殊命名、临时命名的威胁组织共计200+个,包括海莲花(APT32)、蔓菱花、毒云藤、响尾蛇、APT28等。在平台内搜索“APT32”即可获得相关攻击模拟实验,从而验证安全防御体系是否能够有效应对这一黑客组织的各种攻击手法。
用持续验证 建长久安全
长按图片扫码添加【官方客服】