中国莲花APT组织利用假邀请会议正试图吸帕洛阿尔托网络的即将到来的受害者。
中国 APT 莲花组织,也称为伊莉斯和 Esile,是背后试图引诱受害者以假邀请帕洛阿尔托网络即将召开网络安全峰会新的网络间谍活动。
有了这个社会工程学的伎俩,攻击者试图欺骗用户安装一个恶意软件,可用于监听受害者的机器。
安全专家分析APT活动至少从2012年左右在这个国家就开始发展了。
2015六月,趋势科技发表了一份报告,对该集团的有针对性的攻击活动,在东南亚地区的各个国家打击该组织。专家推测,由于被盗信息的性质,国家在资助的黑客的参与。
“esile是有针对性的攻击活动,针对在东南亚地区各个国家,最近已经在媒体上讨论。这项运动由其他研究人员被认为是一个民族国家的争端,由于被盗信息的性质,这是国家比私人企业或网络罪犯更有价值。”趋势科技发表。
根据趋势科技其他研究人员收集的证据,可以追查到2007年第一次活动。
回到现在,莲花集团推出了一个新的间谍活动使用假的邀请在帕洛阿尔托网络安全峰会11月3日将在雅加达举行。
这次的活动继续他们在在亚太地区的攻击活动。看来,这些组织已经开始利用帕洛阿尔托网即将推出的网络安全峰会,于2016年11月3日在雅加达举行,印度尼西亚作为一个诱惑目标已经被控制。”有人在博客称“这次攻击利用诱惑是一个变种的间谍木马,我们在过去的分析,其中有威胁行为与操作莲花相关的直接联系。”
来自帕洛阿尔托的网络安全专家发现,网络间谍使用一个新的间谍木马版本。
黑客利用Word文档附件的电子邮件的标题为“[免费]网络安全峰会邀请函.doc”文件,其中包含从以前的邀请一个图像,尝试利用旧的微软Office漏洞CVE-2012-0158提供恶意的有效跟踪。
“作为我们的读者和客户,在印度尼西亚很可能是这个网络钓鱼电子邮件的收件人,我们要释放一些关键事实来澄清情况。
1.恶意电子邮件将附件命名为“[免费]网络安全峰会邀请函.doc”,如果开了会利用CVE-2012-0158。从帕洛阿尔托网络合法的邀请邮件没有携带任何附件。
2.针对这一事件,我们已经停止了我们的电子邮件邀请,所以请忽略所有相关的新的电子邮件邀请本次会议,因为它可能是恶意的。
3.希望参加会议的个人应该在我们的官方网站上注册。
帕洛阿尔托网选择了停止发送电子邮件邀请,由于持续的鱼叉式网络钓鱼活动,邀请印度尼西亚用户忽略任何消息关于事件接收了这些电子邮件。
该图像是从一个旧的邀请,正确编辑的截图。研究人员成功地将图像恢复到之前,他们被裁剪来提取攻击者所使用的系统上的信息。
“截图中的信息和文件的时间戳的分析建议用户位于中国。”
“黑客正在运行的窗口本地化为中国用户,这表明黑客的主要语言是中国。在Windows任务栏的“ch”图标显示,内置的Windows输入法编辑器(IME)是目前中国研究人员解释说,“。“同时,截图显示一个流行的应用在中国叫做搜狗拼音,这是一个输入法,允许用户输入汉字拼音。拼音是至关重要的是能够使用一个标准的拉丁字母键盘输入汉字,进一步暗示的威胁黑客是讲中文的。”
