蔓灵花是一个主要针对我国和巴基斯坦关键部门的攻击组织,主要利用仿冒邮件、病毒邮件发动网络攻击,从而窃取他国机密数据。研究发现,其具有较强的政治目的,或国家级黑客组织。
近日,该组织活动较为频繁,以“海事政策分析和对南亚的港口安全影响”、“2020年自主研发项目立项论证报告”等主题对我国政府部门、科研机构相关人员发起定向邮件攻击。
样本分析
对样本分析发现,攻击邮件的发件人为国内某船舶贸易公司邮箱,这说明该邮箱已被控制,可能存在批量攻击。
该邮件为了增加迷惑性,使用“开证装期邮件.pdf.exe”引起注意,同时将文件内容中包含邮件信息截图作为诱饵。这说明攻击组织成功攻入该船舶贸易公司,并获取价值信息,包括收发件人邮箱地址,以及邮箱内的来往邮件内容,然后再通过这个邮箱发送精准钓鱼邮件,攻击其他目标如:政府部门、科研机构相关人员。
这些邮件内置恶意程序,一旦“中招”将会被攻击组织远程控制。研究发现该恶意程序中包含名为:Windrv USB 的窃密模块,windrv模块主要功能是从USB等移动设备中窃取指定后缀的敏感文件,并把这些窃取的文件存储在本地磁盘的指定目录中,同时这些数据可随时被他们浏览或外发。
众所周知,电子邮件因具有较强的商务特点和天然的信任属性,极易成为攻击的突破口。研究表明,每一百封邮件中就有一封恶意邮件。因此,政企等关键行业应谨慎处理电子邮件,提前做好相关防护策略。
商务密邮作为国内专业的邮件安全服务提供商,采取加密保护、数据防泄漏、数据管控等策略机制,满足不同企业级用户对邮件高效、稳定、安全的要求。
一、商务密邮在整体架构上采用SSL安全链接 + 高强度国密算法加密,保证快速、稳定的前提下,实现数据在中介多个邮件服务器中均以密文形式存储,确保邮件数据安全。
二、商务密邮为企业提供专属客户端,对邮件数据进行先加密后发送,数据采用“一邮一密”密文形式发送,杜绝了因wifi漏洞、软件漏洞等数据泄密的发生,即使数据被窃取,不法分子获取到的数据是被加密的密文,不解密的数据对攻击者来说毫无价值。
三、商务密邮同时针对机构、企业的具体需求,可配置强制加密、禁止转发、禁止截图、邮件水印、离职管控、邮件防泄漏等策略制定整体解决方案。实行各系统功能模块化,便于企业部署和管理。当面对不可预测的攻击和泄漏时,可有效防控企业邮件安全。
蔓灵花组织长期针对我国重要政企部门和敏感单位进行定向攻击。虽然国内媒体都曾对其攻击活动有过披露,但机构并无有效的阻止策略。商务密邮提醒国内相关企业和单位务必引起重视,提高警惕,加强自身安全防御措施,减少不必要的损失。