黑客无孔不入 南海事件也成为利用手段 F-secure发布南海鼠恶意软件分析报告

南海仲裁案无疑是一场闹剧,中国拒绝承认该仲裁案的合法性,没有出庭,并且拒绝仲裁结果。然而攻击者真是无孔不入,开始利用这个事件进行网络间谍活动。F-secure安全公司发现了相关恶意软件,并给出了分析报告。

南海鼠恶意软件

F-Secure在检测到该网络间谍活动后,将其命名为“南海鼠”,并于今日发布了针对该活动攻击方法与相关恶意软件的分析。F-secure在其labsblog上表示

根据我们的观察,攻击的时间表呈现出明显的政治动机,因为从时间表可以看到,攻击的开始时间就是在媒体公开报道的1个月内。

该恶意软件通过邮件传播,具有极强的针对性。邮件内容针对不同用户精心构造,表明目标为特定组织,包括菲律宾法庭、去年11月在菲律宾举行的APEC峰会的组织者(该峰会讨论了南海争端)以及代表争端一方利益的一家大型国际律师事务所。

律师事务所收到的恶意软件包含在一个Excel宏中,邮件主题为“工资及/或奖金范围”,邮件的XLS附件的文件名为“工资与奖金数据.xls”。将邮件内容与VBA传递机制结合表明攻击方不遗余力地调查了目标,做了社会工程准备。因为VBA攻击对于使用Excel默认设置的目标无效,所以上述攻击的成功实施表明攻击者知道他们的目标在日常工作中开启了宏。

恶意软件本身为远程访问木马(RAT),可下载其他的恶意软件,并将文件泄露给C&C服务器。F-Secure无法确定攻击者从受害者处窃取了什么文件,所以无法完全肯定仲裁案为主要动机。不过,感染时间线、目标及已检测到的事件均与仲裁相关,这为F-Secure的推断提供了非常有说服力的间接证据。

F-Secure对事件的分析观点

恶意软件的源头明显指向中国,因其复用了中文论坛的代码。F-Secure的报告指出,“恶意软件的VBA Base64解码函数似乎在中国程序员中相当流行,在网上搜索变量名会返回一堆中文网站。”

但是F-Secure并未将此类攻击归咎于中国政府或具体的中国恶意软件团体。F-Secure安全顾问Erka Koivunen接受安全周刊(SecurityWeek)采访时说,他无法确定恶意软件一定与已有团体相关(虽然一些研究员仍在找寻事件与APT 17和BLACKCOFFEE团体之间的联系)。他还说,将攻击归咎于中国政府未免冒失,但是他又表示,预期未来该团体会发动更多攻击。

虽然F-Secure拒绝明确表示此次活动获得了政府支持,但是,毫无疑问,有人会做出此种假设。他们认为,中国未出席涉及自身领土争端的仲裁案,因而无法直接获得所提交或讨论的信息,只能通过间谍活动获取这些信息。

基于此种假设,“南海鼠”相当于执法部门(LEA)的线人,不受LEA控制,亦不根据LEA指令行事,但会为LEA提供所需要的信息。

南海鼠恶意软件分析报告下载

发表评论