疫情期间，网络威胁愈演愈烈趋势，其中印度APT组织“摩诃草”，针对我国医疗机构发起APT，通过使用假冒域名” nhc-gov.com “伪装成我国卫生主管单位的域名，诱骗用户主动下载运行的可执行文件；同时利用“新型冠状病毒”主题相关的文档作为诱饵文档，运用鱼叉式钓鱼邮件的方式，攻击我国医疗机构。

摩诃草组织（APT-C-09），又称HangOver,VICEROY TIGER,The Dropping Elephant,Patchwork，是一个来自南亚地区的境外APT组织。自2013年被曝光以来，已经持续活跃了8年之久，该组织主要针对中国、巴基斯坦等亚洲地区和国家进行网络间谍活动。对中国地区的攻击中，该组织主要针对军事、政府、科研、通讯等机构。 针对此次攻击事件， 网思科平的威胁分析中心进行了详尽的威胁分析——

1.《武汉旅行信息收集申请表.xlsm》

2.《卫生部命令.docx》

1.《武汉旅行信息收集申请表.xlsm》

1）样本信息

2）分析概况

诱导用户执行宏代码，通过“scrobj.dll”远程执行“http://45.153.184.67/window.sct”文件，执行后继续从服务器下载伪装成jpeg文件的后门木马“window.jpeg”。该后门木马主要行为是自拷贝、创建计划任务实现持久化攻击和与C&C服务器通信执行指令。

3）详细分析

• 下载后门木马

表格中嵌入了恶意宏代码，再通过“scrobj.dll”远程执行“http://45.153.184.67/window.sct”，进而下载伪装成图片的后门木马“window.jpeg”：

• 后门木马自拷贝

后门木马自拷贝到C:\Users\%UserName%\AppData\Roaming\msupdate.exe和C:\Microsoft\msupdate.exe：

• 反向Shell功能

从C&C服务器得到要连接的IP和端口，创建cmd进程通过管道的方式创建反向Shell：

• 文件上传功能

从C&C服务器得到要上传的FTP服务器的URL，用户名、密码和要上传的文件路径，然后上传文件到服务器：

• 文件下载功能

从C&C服务器获取要下载文件的URL，然后下载文件到本地：

• 屏幕快照功能

拍屏幕快照，上传C&C服务器：

2.卫生部命令

1）样本信息

2）分析概况  

诱导用户点击“提交”按钮执行shell.explorer加载对象，下载木马加载器submit_details.exe（链接为https://github.com/nhc***/q*******8/raw/master/submit_details.exe ）：

3）详细分析

• 访问 www.baidu.com 检查网络连接：

• 上传本机配置信息到C&C服务器：

• 获取木马下载链接

访问链接https://api.github.com/repos/*****/meeting/contents/s****p/token.txt获取木马的下载链接，但是该文件已经被攻击者删除：

此次攻击所使用的的后门与已披露的摩诃草组织（APT-C-09）所使用的专属后门cnc_client极为相似，其中与C&C服务器通讯所使用的URL格式完全一致，所以可以确定本次攻击就是摩诃草组织所为：

2.Domain：

3. URL：

4. IP：

5. 已知恶意钓鱼文件名称列表：

在大灾大难面前，大家众志成城！网思科平履行网安企业的社会责任，向疫情期间所有有远程办公且有安全需求的用户提供安全的SaaS服务，免费为大家终端PC部署天蝎EDR公有云探针，通过云端服务器与端点探针联动，有效保护用户终端安全。