起底印度骇客频密攻击中国之二》揭密国家级骇客组织

大陆《环球时报》19日报导，中国知名网路安全公司奇安信旗下的高级威胁研究团队「红雨滴」指出，目前已知这些主要瞄准政府机构、军工企业、核能行业等领域的国家级顶级骇客组织集中在「蔓灵花」（BITTER）、「摩诃草」（Patchwork）、「魔罗桫」（Confucius）和「肚脑虫」（Donot）四大组织中。

此类骇客组织被称为「国家级APT」（Advanced Persistent Threat，高级持续性威胁）组织。在国家背景支持下，专注于针对特定目标进行长期和持续性的网路攻击，且一直处于十分活跃的状态。

首先是「蔓灵花」，据称有南亚背景的APT组织。该组织至少从2013年11月开始活跃，但一直未被发现，直到2016年才被国外安全厂商Forcepoint首次披露。同年，奇安信威胁情报中心发现中国也遭受相关攻击，命名为「蔓灵花」。自从被曝光后，该组织就修改了资料包结构，不再以「BITTER」作为资料包的标识。

随着其攻击活动不断被发现披露，「蔓灵花」组织的全貌越来越清晰。该组织具有强烈的政治背景，主要针对巴基斯坦、中国两国，2018年也发现过其针对沙乌地阿拉伯的活动，攻击瞄准政府部门、电力、军工等相关单位，意图窃取敏感资料。据了解，2019年该组织还加强了针对中国进出口行业的攻击。

值得一提的是「蔓灵花」组织最常用的两大攻击手段：其中之一是「鱼叉攻击」（即骇客利用木马程式作为电子邮件的附件，发送到目标电脑上，诱导受害者去打开附件来感染木马），因「鱼叉邮件」使用的攻击诱饵大都根据不同攻击物件进行定制，因而具有较强的迷惑性，而且该组织通过「鱼叉邮件」投递的诱饵类型多样。另一种主要攻击手段是「水坑攻击」（即骇客攻击者攻陷合法网站），在合法网站上托管其攻击荷载，或者搭建偽装为合法网站的恶意网站，诱使受害者下载。「蔓灵花」除通过「水坑网站」直接向目标投递恶意软体外，还结合社会工程学手段制作「钓鱼」页面窃取攻击目标的邮箱帐号。

红雨滴安全专家说：「有意思的是，在多份报告中均显示，『蔓灵花』组织跟疑似南亚某国的多个攻击组织，包括『摩诃草』 『魔罗桫』 『肚脑虫』等存在着千丝万缕的联繫。」

《环时》报导，其次是「魔罗桫」，该组织的攻击活动最早可以追溯到2013年，被首次公开披露的时间则是2016年。相关专家认为，「魔罗桫」组织疑似来自印度地区，长期以中国、巴基斯坦、尼泊尔等国家及周边地区为主要攻击区域，并瞄准政府机构、军工企业、核能行业、商贸会议、通信运营等领域发起攻击。

《环时》报导，再次是「摩诃草」，该组织主要针对中国、巴基斯坦等亚洲地区国家进行网路间谍活动，主要攻击领域为政府、军事、科研、教育等。2020年2月，「摩诃草」便发起以「新冠疫情」为主题针对中国的攻击活动。该组织利用「武汉旅行资讯收集申请表.xlsm」「卫生部指令.docx」等诱饵对中国进行攻击活动。2021年8月，「摩诃草」藉助美女图片为诱饵发起 「来自美色的诱惑」的恶意程式攻击。

「摩诃草」不仅是第一个被披露利用疫情进行攻击的APT组织，近年来还常使用携带有CVE-2017-0261漏洞的文檔开展攻击活动。2021年1月，奇安信红雨滴团队捕获该组织利用该漏洞针对中国的诱饵文檔，名为「Chinese_Pakistani_fighter_planes_play_war_games.docx」。该样本是以巴基斯坦空军演习为主题的office文檔，内部嵌入了利用CVE-2017-0261漏洞的EPS脚本，当用户打开该文檔文件，office内部的EPS解译器就会执行EPS脚本触发漏洞执行恶意shellcode载荷。

最后是「肚脑虫」，该组织由360和奇安信威胁情报中心联合发现，并在全球率先披露。2017年「肚脑虫」攻击活动首次被曝光，它的攻击活动可追溯到2016年。「肚脑虫」组织一直处于活跃状态，主要针对巴基斯坦、喀什米尔地区、斯里兰卡、泰国等南亚、东南亚国家和地区发起攻击，对政府、军队以及商务领域重要人士进行网路间谍活动。