毒云藤组织持续对国内展开钓鱼活动

毒云藤组织持续对国内展开钓鱼活动

摘要

毒云藤,又名绿斑、APT-C-01等,是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,最早可以追溯到2007年。该组织惯用鱼叉式钓鱼网络攻击,会选取与攻击目标贴合的诱饵内容进行攻击活动,惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间段时事主题。除了附件投递木马外,毒云藤还惯用钓鱼网站钓鱼,窃取目标的账户密码,进而获得更多重要信息。

钓鱼活动分析

安恒威胁情报中心猎影实验室联合安全支撑部持续对毒云藤等组织的网站钓鱼攻击活动进行监控。

毒云藤组织常采用QQ邮箱中转站文件页面、126免费邮箱附件下载页面等形式作为钓鱼网页。

如表面模仿为一个正常文档的文件下载站点,

BD6C8EC9-5885-4440-B18D-3E67F1301718

实则为钓鱼页面,诱导目标输入账号密码,点击验证或登录后实则将账号密码发送到攻击者服务器上。

根据我们的监控数据表明,毒云藤持续活跃。

72805530-2A77-4F04-A773-FFE1F001A71D

从诱饵主题即可以了解到目标为科技、军工、政府等重要人员和精英人才。虽然仅仅只是钓鱼窃取账号密码,但是由于目标人员的特殊性,毒云藤组织攻击的目标人员往往掌握核心机密、机要文件,如若泄露,损失不可估量,所以仍需要对此类钓鱼攻击形式引起足够重视。

总结

毒云藤依托于其特殊背景面向国防军工、科技、政府等领域持续攻击。攻击手法上看稍显单一,同一攻击形式已经使用了较长时间,就如网页钓鱼活动,看似单一,却极具迷惑性,如若针对不同目标,或仍能够发挥一定效果,尤其是当毒云藤对目标进行深入调研,构制出专门针对贴合目标的钓鱼页面和主题,真假不一定能够轻易分辨。所以不可掉以轻心。

威胁情报中心猎影实验室将联合安全支撑部持续关注毒云藤的攻击活动,持续生产情报内容,为政企做好情报服务工作。