巴基斯坦军方遭 Shaheen 恶意软件攻击

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

巴基斯坦空军遭复杂的新型国家黑客攻击。

本周，安全公司Cylance表示，某国家黑客组织“White Company”（“白色公司”）试图在长期的针对性攻击活动“Shaheen行动”进行时入侵巴基斯坦军方网络。

Cylance公司声称，在去年，“白色公司”组织已通过包含远程访问木马的钓鱼邮件攻击空军。该木马激活后安装日志记录和命令和控制恶意软件payload。

Shaheen以比利时锁匠业务为幌子，首先向受攻陷网站发送带链接的钓鱼邮件，之后发送带有受感染Word文档附件的邮件。研究人员发现在这两种情况下，邮件都被特别构造成引起目标兴趣的相关主题：巴基斯坦空军、巴基斯坦政府和位于巴基斯坦的中国军队和顾问。

Cylance公司表示，“我们无法确切地表示，这些文档去了哪里或者说成功率有多高。然而，我们可以肯定的是，巴基斯坦空军是主要目标。文档文件名称中的主题、诱饵文档的内容以及军队主题的特殊性都可证明这一点。”

实施感染后，恶意软件就会在多个打包层中分层payload并躲避反病毒数据包来隐藏踪迹。目前，Sophos、ESET、卡巴斯基、BitDefender、Avira、Avast、AVG和Quickheal均无法检测出该恶意软件。

因此，研究人员认为“Shaheen行动”背后的黑客组织“白色公司”是一个受国家支持的组织，它拥有大量资源能够执行广泛的间谍活动。

然而，黑客组织的归属问题并不好判断，因为对监视巴基斯坦空军感兴趣的黑客组织有很多。Cylance在报告中指出，巴基斯坦是一个动荡不安且拥有核武器的国家，其作为边缘政治棋盘的地位使之很容易成为网络计划完善的国家黑客的目标。