当前位置:首页 > 安全预警 > 正文

境外APT组织Bitter攻击我国多个重要单位预警

发布时间:2019-11-11 09:31:56,来源:中国信息通信研究院

      一、基本情况

近日,安全研究人员发现某APT组织的C2控制后台,其中包括多个目前正在被控的我国IP地址,受影响地区包含北京、上海、浙江、广西等地。

      二、攻击原理

此主控后台系APT组织Bitter(Bitter,又名“蔓灵花”,是一个长期针对中国、巴基斯坦等国家的政府、军工、电力、核等部门发动网络攻击的APT团伙,具有印度国家背景)所有,对后台日志进行分析发现,中国是主要的受害者,其中受影响地区包含北京、上海、浙江、广西等地。

2019年10月27日,推特用户@MisterCh0c发布消息称发现了一款木马控制平台的登录地址http://lmhostsvc[.]net/healthne/login.php,10月28日,另一用户@sS55752750回复该信息并配有一张后台页面图片,根据图片发现该后台至少记录了12台被控主机的IP地址、计算机名、用户名、操作系统、被控时间及最后一次上线时间等信息。

image.png 

image.png 

由此可知与此次曝光平台展示的信息完全一致。而对该后台分析发现,目前记录的18个IP地址中9个属于中国,主要涉及北京、上海、浙江、广西等地,该平台还具备下发木马插件的功能,可对受控主机实施进一步操作,相关信息如下所示:

image.png 

      三、影响范围

此攻击影响范围广泛,中国是主要的受害者,涉及我国多个地区的重要单位。

      四、处置建议

1) 建议受影响企业高度重视此次事件,并结合内部DNS记录,排查与主控域名存在通信的相关内部主机。

2) 建议对该组织的攻击活动进行持续检测和防范。

      五、参考链接

1) https://www.freebuf.com/articles/network/218446.html