【安全资讯】血茜草:毒云藤组织最新华语情报搜集活动

安恒情报中心 2020-10-14 01:39:19 2471人浏览

从2018年至2020年,毒云藤组织利用大陆最常使用的社交软件,邮箱系统,以及政府机构网站,军工网站,高等院校网站等进行了大规模的仿制,目的便是获取到受害者尽可能多的个人信息,从而为打入内部提供便利。 


如此前有所不同的是,如今该华语来源的攻击活动趋向渔网化,通过批量与定向投方相结合,采取信息探测的方式辅助下一步的定点攻击。该情报搜集活动被我们命名为“血茜草行动”(Operation Rubia cordifolia),由于”血茜草”同”蒐”,而蒐一字经常用在繁体中文”蒐集情報”一词中,顾如此命名。目前我们将该系列攻击活动归属于著名的毒云藤组织。


由于语言环境的原因,华语类网络攻击通常极具诱惑性。在血茜草活动中,攻击目标行业主要为军工、国防类军情行业、重点高等教育科研、政府机构等。


在该活动中,攻击分为三种类型:钓鱼网站钓鱼、诱饵引诱钓鱼和恶意附件式钓鱼攻击。 其中主要还是以邮件配合钓鱼网站进行攻击。具体手法为,通过伪装成一个合适的身份,根据该身份进行符合攻击目标利益的话术编造,从而引诱受害者掉入陷阱。


根据我们观察,血茜草活动中伪装了多个具备鲜明特色的角色,如智库类目标、军民融合产业园、军事杂志、公务员类猎头公司等等。伪装这些角色的意图很明显,就是为了针对一些在体制工作,需要赚取外快的人员,从而让这些人员能够被利益冲昏头脑从而掉入陷阱中。 


下图为血茜草活动的其中几个场景,需要注意的是,由于该攻击活动异常活跃和频繁,且攻击事件可达数千起以上,因此仅将典型案例进行展示。



结论:

在对毒云藤组织所进行的血茜草活动进行整体分析后,不难发现该华语APT组织的一个攻击趋势:利用社会工程学进行情报收集。

鉴于钓鱼活动会极大的利用人心漏洞,这里警惕广大用户勿打开未知来源的邮件的附件或链接,勿要向域名URL奇形怪状的网站输入邮箱和密码。

失陷指标(IOC)57
APT APT-C-01 钓鱼攻击 水坑攻击 账号窃密 信息窃取 军工 政府部门 教育 国防
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。