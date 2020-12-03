安全 业务运营

IBM 发现针对新冠疫情疫苗冷链的全球网络钓鱼行动。



作者

Claire Zaboeva

Senior Strategic Cyber Threat Analyst

IBM

Melissa Frydrych-Dean

Threat Hunt Researcher

IBM

在新冠疫情流行病爆发之初，IBM Security X-Force 成立了一个威胁情报特别工作组，以专门负责追踪新冠疫情网络威胁，而这些威胁针对的是保持疫苗供应链运转的组织。作为这些工作的一部分，我们的团队最近发现了一起针对与新冠疫情冷链相关的组织的全球网络钓鱼行动。冷链是疫苗供应链的其中一部分，它可确保疫苗在存储空间和运输过程中安全地保存在温控环境中。

我们的分析表明，这是一次精心策划的行动，且始于 2020 年 9 月。新冠疫情网络钓鱼行动跨越六个国家或地区，且目标是可能与 Gavi、疫苗联盟的冷链设备优化平台 (CCEOP) 计划相关的组织；我们将在本博文中进一步解释这些组织。虽然无法确定该行动的具体归属，但对高管和关键全球组织的精准定位却具有国家级策略的潜在特征。

来自 IBM Security X-Force 对该活动的分析的部分细节包括：

  • 封面故事—对手冒充海尔生物医疗的业务高管；海尔生物医疗是一家可信、合法的新冠疫情供应链成员公司，同时也是 CCEOP 计划的合格供应商。据称，该公司是全球唯一的完整冷链提供商。攻击者伪装成此员工，向被认为是为满足新冠疫情冷链运输需求而提供物资支持的组织发送电子邮件。我们评估此次新冠疫情网络钓鱼行动的目的可能是窃取凭据，从而可能用于未来未经授权地访问企业网络以及与新冠疫情疫苗分发相关的敏感信息。
  • 目标—其目标包括欧盟委员会税务和海关联盟总司，以及能源、制造、网站搭建以及软件和互联网安全解决方案领域的组织。这些全球性组织的总部位于德国、意大利、韩国、捷克、大欧洲区和中国台湾。
  • 攻击方式—网络钓鱼电子邮件的发送对象是经过挑选的销售、采购、信息技术与财务职位的高管，而他们可能参与了公司的疫苗冷链支持工作。我们还发现此活动会扩展到整个组织，以包含目标组织的帮助与支持页面。

IBM Security X-Force 已遵循负责任的披露程序，并就此次有针对性的操作通知了相关实体和主管部门。

新冠疫情供应链警报

IBM Security X-Force 敦促处于新冠疫情供应链（从疗法研究、医疗保健服务到疫苗分销）的公司在此期间保持警惕并保持高度警戒。各国政府已警告称，外国实体很可能会尝试进行网络间谍活动，以窃取疫苗相关信息。今天，DHS CISA 联与本博文一起发布了一则警报，而它鼓励与疫苗存储和运输有关的组织审查该研究与推荐的最佳实践，以保持警惕。

通过计算欺骗来破坏新冠疫情冷链

IBM Security X-Force 发现了支持 CCEOP 计划的多个行业、政府和全球合作伙伴中的目标。CCEOP 由疫苗联盟 Gavi 与联合国儿童基金会(UNICEF) 及其他合作伙伴于 2015 年共同发起。其目标是最终加强疫苗供应链、优化免疫公平性，并确保对传染病爆发做出敏捷的医疗响应。各类药品（尤其是疫苗）需要在温度受控的环境中存储和运输，以确保其安全保存。

CCEOP 计划自然会加快促进新冠疫情疫苗分发的工作。该全球联盟内部任何部分的违规行为都可能导致全球众多合作伙伴的计算环境遭到暴露。

伪造的网络钓鱼电子邮件似乎源自中国公司海尔生物医疗，而该公司目前是与世界卫生组织 (WHO)、联合国儿童基金会以及其他联合国机构协调工作的 CCEOP 计划的合格供应商。对手很可能采用战略性手段选择假冒海尔生物医学，因为该公司声称自己是全球唯一的完整冷链供应商。同样，根据其职位（电子邮件签名栏中列出的职位），据称发送这些电子邮件的海尔生物医药员工也很可能与海尔生物的冷链运营有关联。

从我们的分析来看，新冠疫情网络钓鱼行动是否成功尚不清楚。但是，海尔生物医疗目前在疫苗运输中发挥的既定作用，以及在新冠疫情疫苗分发中可能发挥的作用，使得预期目标更有可能与入站电子邮件进行交互，而不会质疑发件人的真实性。

收集凭据以扩大访问范围

网络钓鱼电子邮件的主题被伪装成与 CCEOP 计划相关的报价请求 (RFQ)。这些电子邮件包含在本地打开的恶意 HTML 附件，且会提示收件人输入凭据才能查看文件。此网络钓鱼技术可帮助攻击者避免在网上建立可能被安全研究团队和执法部门发现并删除的钓鱼页面。

我们评估，此活动的目的可能是收集凭据，以供未来进行未经授权的访问。通过此方式，对手可深入了解内部沟通情况，以及分发新冠疫情疫苗的流程、方法和计划。其中包括政府打算用于向供应商分发疫苗的基础设施的相关信息。然而，除了与新冠疫情疫苗相关的关键信息外，对手的访问权限可能还会深入到受害者环境中。通过横向移动穿过网络并保持隐蔽状态，他们可进行网络间谍活动，并从受害者环境中收集更多机密信息，以用于未来的操作。



图 1：发送给与新冠疫情供应链相关组织高管的网络钓鱼电子邮件。

全球目标设定

鉴于此次行动中目标组织的专业化程度和全球分布情况，对手很可能对冷链的关键组成部分和参与者有所了解。

  • 欧盟委员会税务和海关联盟总司—该总司负责促进整个欧盟在海关与税务事务方面的合作。它与多个国家政府网络保持直接联系，并与贸易和监管相关。将该实体设定为目标可能会形成单一入侵点，从而影响欧盟 27 个成员国及其他地区的多个高价值目标。
  • 能源行业—网络钓鱼的目标包括涉及制造太阳能电池板的公司。在无法实现可靠能源的国家或地区，疫苗的冷藏方法之一是使用由太阳能电池板供电的疫苗冰箱。这些技术一旦被攻破，便可能导致知识产权盗窃，或在全球黑市中盗窃并出售疫苗运输容器。此攻击的目标还包括与石化产品相关的公司。冷链的关键组成部分之一是使用干冰，而它是石油生产的一种副产品。
  • IT 行业—其目标包括一家韩国软件开发公司和一家德国网站开发公司。后者为与制药制造商、容器运输、生物技术以及支持海陆空导航与通信的组件制造商相关的多个客户提供支持。

谁可能是这些攻击的幕后黑手？

虽然目前未知归属，但特定目标组织的精确目标设定和性质却可能指向国家级行动。如果没有明确的现金流出路径，网络犯罪分子不太可能投入时间和资源执行涉及如此众多相互关联且遍布全球的目标的精心运作。同样，针对疫苗运输的洞察分析可能会指向黑市上的热门商品；然而，针对可能影响生活和全球经济的疫苗购买和转移的先进洞察分析却指向，可能会是一个高价值、高优先级的国家级目标。

2020 年初，IBM Security X-Force 发现了围绕全球新冠疫情 PPE 供应链目标设定的行动。同样，随着全球疫苗竞争激烈，冷链很可能成为全球国家级疫苗收集要求的首要目标。

给防御者的建议

IBM Security X-Force 已准备好在我们的企业智能管理平台上为新冠疫情供应链社区提供一个平台，以便它们共享威胁信息并根据最新威胁情报采取行动。针对各组织在本博文概述的事态发展中提高网络准备状态的建议如下：

  • 制定并测试事件响应计划，以加强贵组织在遭受攻击时的准备情况和响应能力。
  • 共享和收集威胁情报。威胁信息共享计划和合作伙伴关系对于及时了解影响您所在行业的最新威胁和攻击计策至关重要。IBM Security X-Force 一直会将这些威胁情报馈送到新冠疫情威胁共享保护区。在疫情爆发初期，IBM 将此保护区免费开放给任何需要加强网络威胁监控的组织。
  • 评估您的第三方生态系统，并评估第三方合作伙伴带来的潜在风险。确认您已制定第三方合作伙伴需遵守的强大监控、访问控制措施和安全标准。
  • 在您的战略中应用零信任方法。随着环境继续扩展，管理特权访问变得至关重要，它可确保用户只被授予对其工作至关重要的数据的访问权限。
  • 在您的组织内使用多重身份验证 (MFA)。如果恶意参与者获得了您的凭据，多重身份验证 (MFA) 便可起到安全保障作用。作为最后一道防线，MFA 提供了为访问帐户而需满足的第二种形式的验证要求。
  • 定期进行电子邮件安全教育培训，以便员工对网络钓鱼计策保持警惕，并熟悉电子邮件安全最佳实践
  • 使用端点保护和响应工具，以便更有效地检测并防止威胁在组织内扩散。

如果贵组织在事件响应方面需要即时帮助，请联系 IBM Security X-Force 的美国热线 1-888-241-9812 | 全球热线 (+001) 312-212-8034。了解更多有关 X-Force 威胁情报事件响应服务的信息。

入侵指标 (IOC)

恶意 HTML 文件：RFQ – UNICEF CCEOP 和疫苗项目 – Copy (#).html

SHA256 哈希值
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895

C2 URL

hxxps://e-mailer.cf/next[.]php

hxxps://e-mailer.ga/next[.]php

hxxps://nwa-oma2.ml/next[.]php

hxxps://routermanager.ga/next[.]php

hxxps://routermanager.gq/next[.]php

hxxps://routermanager.ml/next[.]php

hxxps://routermanagers.cf/next[.]php

hxxps://routermanagers.ga/next[.]php

hxxps://routermanagers.gq/next[.]php

hxxps://routermanagers.ml/next[.]php

hxxps://serverrouter.cf/next[.]php

hxxps://serverrouter.ga/next[.]php

hxxps://serversrouter.cf/next[.]php

hxxps://serversrouter.gq/next[.]php

hxxps://nwa-oma.ml/next[.]php

发件人电子邮件地址

yongbinxu@haierbiomedical[.]com

DNS SOA 地址

rahim[@]protonmail[.]com

kilode[@]cock.li.

其他相关 URL

hxxps://mailerdeamon[.]cf

hxxps://mailerdeamon[.]ga

hxxps://mailerdeamon[.]gq

hxxps://mailerdeamon[.]ml

hxxps://mailerdeamon[.]tk

hxxps://routermanager[.]tk

hxxps://routermanagers[.]tk

hxxps://serverrouter[.]tk