来自南亚APT组织的报复性定向网络攻击

概述

奇安信威胁情报中心红雨滴安全研究团队多年来持续对南亚次大陆方向的攻击活动进行追踪。我们对蔓灵花、摩诃草、响尾蛇等相关组织均做过大量的分析和总结。上述组织长期针对中国、巴基斯坦、尼泊尔等国和地区进行了长达数年的网络间谍攻击活动，主要攻击领域为政府机构、军工企业、核能行业、商贸会议、通信运营商等。

而近些年来，随着南亚边境冲突加剧，越来越多攻击组织借助中印关系为主题，针对中国关键基础设施部门发起网络攻击活动，我们长期追踪分析的“魔罗桫”APT团伙便是其中之一（国外安全厂商命名的Confucius）。

该组织自2013年起便持续活跃，奇安信内部对该团伙命名为“魔罗桫”。而由于近年来该组织对其内部攻击项目的命名：Project tibbar，故我们将该组织近期的攻击活动命名为：提菩。

在提菩攻击活动中，攻击团伙使用了多种攻击手法：邮件结合钓鱼网站，邮件结合木马附件，单一投放木马，恶意安卓APK投放等等。其中值得注意的是，攻击团伙除了使用自定义的特种木马外，疑似还使用了一些商业，开源木马。

在分析攻击载荷过程中，红雨滴发现该团伙不仅使用了高敏感性的、诱惑性的恶意文档名称，还发现该组织疑似使用了类似“商贸信”的攻击手法。这一点与以往传统的APT组织不太一致，这或许是该组织隐蔽自身攻击活动的方式，从而加大分析人员溯源的难度。

奇安信威胁情报中心对整个活动进行了剖析，将报告呈现于此。截至本报告发布(2020.09)，攻击活动仍在持续进行中，报告末尾将公开详细技术分析和IOC指标，以供参考。

黑鸟仅仅挑了一些重点攻击手段的片段放在上面，让读者可以在平常的工作中可以注意防范，以免点击造成不必要的损失，剩下的详细样本分析可看报告。

全文报告下载地址：

https://ti.qianxin.com/uploads/2020/09/17/69da886eecc7087e9dac2d3ea4c66ba8.pdf

Github备份地址

https://github.com/blackorbird/APT_REPORT/blob/master/Confucius/OperationTibbar-A-retaliatory-targeted-attack-from-SouthAsian-APT-Group-Confucius.pdf