近日,瑞星威胁情报平台披露,长期针对我国实施网络间谍活动的南亚黑客组织“蔓灵花”(Bitter)再度出手,对我国某政府部门发动了定向攻击:伪造“自然资源部”公务邮件,向相关人员发送携带病毒的“Excel文件”。一旦点开,受害电脑便沦为黑客的“监控站”——屏幕遭实时窥探、文件被秘密窃取,甚至每16分钟自动向境外服务器回传情报!
攻击手法:披着“公务”外衣的陷阱
1.伪造身份,精准投递:
攻击者精心伪造发件人身份与邮件内容,冒充“中华人民共和国自然资源部”官方机构。邮件主题以“用户数据”等看似合理的公务内容为幌子,附件名称伪装成Excel格式(如 “mail.mnr.gov.cn202501104759.xls.chm”),极具迷惑性,目的是诱骗工作人员放松警惕、点击打开。
2.恶意附件,隐蔽激活:
所谓的“Excel 文件”实质是带有恶意脚本的HTML文件。受害者一旦点开,隐藏其中的恶意代码便会在后台自动运行,悄无声息地启动攻击流程。
3.持久潜伏,定时回传:
恶意脚本会在受害电脑中创建名为“WindowsDefenderVerification”的定时任务,每16分钟自动连接境外服务器——一边接收黑客指令,一边回传窃取的数据,实现对电脑的长期隐蔽控制。
幕后黑手“蔓灵花”:有国家背景的 “数字间谍”
“蔓灵花”(Bitter)是一个具有明确地缘政治动机的境外高级持续性威胁(APT)组织,疑似来源于印度,且有明显的国家支持背景。
自2013年被首次发现以来,该组织持续活跃,攻击目标高度集中于中国、巴基斯坦等地区的战略性目标,包括政府机构、军事部门、能源基础设施及其他关键信息基础设施。其核心目的是通过网络间谍活动,窃取目标国家和机构的敏感信息、机密文档与战略情报。
防护指南:四道防线抵御"数字间谍"
鉴于"蔓灵花"组织以窃取系统配置、机密文件、实时屏幕画面为核心目标,且具备长期潜伏、定向攻击特性,我国政府部门及相关企业需立即启动以下防御机制:
1.警惕陌生邮件附件
收到来源不明的邮件,尤其是带附件的,千万别轻易点开。
2. 给电脑装上“防护盾”
安装专业的防护产品,及时更新病毒库,借助软件拦截恶意文件。
3. 给网络加设“安全门”
部署能监测异常网络活动的系统,及时发现黑客的远程控制行为,从源头阻断攻击路径。
4.及时修补系统漏洞
定期为电脑系统和常用软件打补丁,减少因漏洞被攻击的风险。
