新闻快讯
< >

大东话安全第七期之蛮“横”——毒菡行动

大东话安全第七期之蛮“横——毒菡行动

一、谶曰

新闻:手机支付势不可挡,现金正在过时!

大东:移动安全安全要提高,"无现金时代"还有多远~

辉哥:捡钱难!

 

二、病毒通缉令


大东话安全第七期之蛮“横”——毒菡行动-E安全

小白:这是什么怪物?神偷奶爸究极进化+制服诱惑?出门骑着稿纸呢还。

大东:诶,小白有长进啊,终于观察到重点了。

小白:啊?真是神偷奶爸?

大东:(白眼)看来你还需修行。咱们今天要讲的“毒菡行动”中,其中一种感染渠道就是将病毒放进伪装的海军高级军官个人信息文档,只要一打开,你就中计了。

小白:soga,原来如此~好奇心害死喵~~

大东:“毒菡行动”是一次长期的网络间谍活动,该行动可以追溯到2012年,主要通过钓鱼攻击感染目标。该行动的主要目标是东南亚国家的政府和军事组织,港台地区、越南、菲律宾和印度尼西亚都层遭到该组织的攻击。

小白:撂倒一票,流弊!厉害成这样怎么做到的?

大东:嘿嘿,别急,马上开侃~

 

三、黑客的套路

大东:其实,我一说,你就明白了,因为这都是黑客们的套路。

大东话安全第七期之蛮“横”——毒菡行动-E安全

小白:No, no, no! 少一点套路多一点真心!

大东:首先,他们要对目标实施钓鱼攻击。攻击者们通常是定制一些诱饵文件,并把他们伪装成合法文件,但其实这些文件里面都有木马。诱饵文档的主题通常是政府或军队成员的联系方式或个人信息,或者一些通知、服务邀请,还有美女图片等等。黑客们的信息资料一般都是从互联网上弄来的。不过,要明白,真正的政府、军队的涉密文件是不会上网的。

小白:噢,怎么听起来那么像诈骗邮件啊!如果我是收到这些东西我肯定不看,直接删除掉!

越南那些事儿

大东:说得到轻松,可是事实上,还真有不少人上当了。

小白:啊?哪?

大东:据E安全消息,在 2013-2014 年期间,越南曾多次遭到“毒菡行动”的攻击,共计11波钓鱼攻击,主要集中在2014年9月。这些攻击使用了一个 Microsoft Excel 文档和五个 Microsoft Word 文件来投放木马,而黑客所使用的服务器中,有两个CC域名都是用2759931587@qq.com这个邮箱注册的,而且在其他针对东南亚的攻击活动中,也有一些域名是使用了这个邮箱注册的。

小白: Word和Excel居然能传播木马!而且还是用QQ邮箱!!

大东:黑客用的当然不是真的QQ邮箱和文档文件了,我刚才说过,是伪装的。这都是黑客们的套路。

这组攻击还使用了行动代码来标记他们的感染活动,其中多数名称都包含字符串“Alice”。目前尚不清楚这个字符串有没有任何特殊含义。

大东话安全第七期之蛮“横”——毒菡行动-E安全

 “毒菡行动”行动代码

小白:那个CC什么名是什么东西?难道黑客们喜欢CC柠檬饮料吗?

大东: CC域名是域名的一种。所谓域名,是由一串用“.”分隔的字符组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位。不同的性质的申请机构所使用的域名是不一样的,譬如,政府部门是.gov,军事机构是.mil,工商金融企业是.com,教育机构是.edu等等。

CC是 “Commercial Company”的缩写,现已开放为全球性国际顶级域名,主要应用在商业领域内。所以,黑客使用CC域名的目的就是为了迷惑目标人员,让他们上钩。

小白:噢!差点儿被骗!

大东:另外,这几个诱饵文档使用了完全不同的主题。值得注意的是,其中一个邀请挪威驻越南大使馆参加木筏航行周年庆活动的邀请函上,诱饵文档标注的活动时间不正确 — —这个活动正确的时间应该是2014年12月11日至12日。

大东话安全第七期之蛮“横”——毒菡行动-E安全

伪装的预约邀请函

小白:所以肯定是假的!

大东:另一组攻击中也使用了用越南语书写的诱饵文件。这个文档是一份联系人名称,上面公布了越南高层的姓名和webmail地址。文档的第一页,显示的是越南政府2015年的IT升级计划,涉及了实施日期和相关负责人。

大东话安全第七期之蛮“横”——毒菡行动-E安全

伪造越南政府IT升级计划

木马哪里逃

小白:呃。这么说岂不感觉防不胜防了?这究竟是谁干的?他们到底想干什么?

大东:目前相关人员还在调查中。除了越南外,菲律宾、印度尼西亚、台湾和香港也曾遭受过攻击。为了寻找线索,调查员把注册恶意域名的email地址和恶意域名的解析ip地址绘制成了平面图。从图中可以看出,虽然每次攻击使用的恶意域名都不尽相同,但是它们之间明显是有联系的。

大东话安全第七期之蛮“横”——毒菡行动-E安全


“毒菡行动”黑客IP地址解析平面图

小白:咦?这不是星座图嘛~

大东:这是黑客犯罪的路径平面图。目前还无法确定这些攻击活动是哪个国家授意的,但是,通过攻击模式我们就能发现,其幕后主使具备开发定制工具的能力,也能长时间地维护CC服务器。这些证据都说明,该幕后操纵者必定是某个国家势力,且对东南亚国家的军事情况很感兴趣。

见招拆招

小白:哦,那说了半天,他们只是对东南亚军事感兴趣啊。和咱们就没关系了吧?

大东:当然不是,保不齐哪天黑客组织就开始对你感兴趣了。

小白:那咋办?!!

大东:还是老生常谈,平时不要轻易阅读陌生人发送的可疑邮件。不要查收带敏感词汇的主题邮件。

小白:噢~更不要随便打开他们发来的链接。别上非法网站。

 

四、安全护卫

小白:大东东,我还是不放心诶~谁来守护我的电脑呀~~

大东:懒小白,那你可能需要一个云安宝。

小白:啥?我还是个宝宝~

大东:云加密是深圳云安宝科技有限公司研发的一款用于提供云计算数据安全的组件和系统,针对云计算中的敏感数据保护问题提出了云加密解决方案,能够有效解决实施云计算中遇到的敏感数据泄露等问题。

大东话安全第七期之蛮“横”——毒菡行动-E安全

云加密保护邮件

小白:哇~那就可以把重要数据相比于目前国内市交给云加密啦~

大东:不仅如此,云加密还能不改变应用软件的功能、流程和使用习惯,自动对用户的敏感数据提供加密服务。

小白:那感情好~简直是隐形的守护天使~~

大东:难道小白你也有什么机密数据么?

小白:大东东你别小瞧我~我那200G的硬盘可全是宝贝呢~~

大东:行行,那你可看好你那宝贝啊。

 

五、话说漫威

大东:今天讲的“毒菡行动”让我想起了漫威世界里的冬日战士。

小白:冬日战士?为啥不是夏天?

大东:给你个白眼你自己体会。美国队长总认识吧?

小白:这个我知道~他俩啥关系呀?

大东:冬日战士是美国队长最亲密的朋友,帮助美队在战场干些不那么"美国偶像"的工作,比如秘密潜入、刺杀之类的。对于做这种间谍活动,冬日战士可谓经验丰富,因为就连在被敌人洗脑利用时,也是干的刺杀美国首脑这种事情。

大东话安全第七期之蛮“横”——毒菡行动-E安全

冬日战士

小白:噢…感觉像是美队的影子。

大东:在网络世界中,可以和冬日战士一较高下的对手,“毒菡行动”可以算一个。

小白:“毒菡行动”也是秘密间谍行动,攻击对象也是国家政府级别的。嗯,确实挺像~

大东:理解得不错嘛。

小白:嘿嘿,大东东以后继续讲啊~

大东:好嘞~

 

六、参考文献

E安全:https://www.easyaq.com/news/2178.shtml