瑞星：BlackTech组织对国内企业APT攻击分析

近日，瑞星威胁情报中心捕获到一起针对国内企业的网络攻击。通过分析发现，此次事件的攻击者为BlackTech组织，该组织通过钓鱼邮件方式向目标投递中文字样的宏文档，以此诱惑用户点击并执行，这个宏文档会释放恶意程序，从而达到上传用户数据和下载远控木马的目的。目前，瑞星ESM防病毒终端安全防护系统等产品可拦截并查杀此次攻击引起的相关病毒，广大用户可规避相应风险。

图：瑞星ESM防病毒终端安全防护系统对相关病毒进行拦截查杀

据悉，BlackTech是一个至少从2010年就开始对目标发起网络攻击的威胁组织，该组织又被称为Tatsuya Daitoku、yber Defense Institute、TEMP.Overboard和T-APT-03等，主要进行信息盗取和间谍活动。BlackTech组织攻击的目标来自东亚地区，包括中国、日本、中国台湾以及中国香港等，攻击领域包括建筑、金融、政府、医疗和媒体等。

瑞星安全专家介绍，在这次攻击事件中瑞星所捕获的样本是一个名为“俞通才周报1025-1031.xlsm”的宏文档，根据进一步搜索发现此文档另一个名字为“2021-10工资中公积金问题咨询.xlsm”，因此根据中文名称判断此次攻击是针对国内企业。该文档有两个根据宏代码控制其显示或隐藏属性的工作表，通过诱骗用户主动执行宏代码显示不同的工作表，同时释放以硬编码形式存放于宏代码中的恶意程序，以此达到隐藏自身恶意行为的目的。

图：攻击流程

通过进一步分析，瑞星发现，这个宏文档主要是利用宏代码在Windows自启动目录Startup下释放恶意程序的，该恶意程序的主要作用是通过与“centos.onthewifi.com”建立通信，进而上传用户电脑数据资料等隐私信息，同时接收来自攻击者的远控木马等威胁。

图：含有宏代码的空白表格

由于BlackTech组织一直以商业类型企业作为主要攻击目标，因此广大企业级用户应加强防范，做到以下几点防御措施：

1.不打开可疑文件。

不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2.部署网络安全态势感知、预警系统等网关安全产品。

网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助企业更快响应和处理。

3.安装有效的杀毒软件，拦截查杀恶意文档和木马病毒。

杀毒软件可拦截恶意文档和木马病毒，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

4.及时修补系统补丁和重要软件的补丁。

许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播，及时安装补丁将有效减小漏洞攻击带来的影响。