網(wǎng)絡(luò)安全公司Proofpoint稱某個(gè)此前曾與中國(guó)存在關(guān)聯(lián)的黑客組織一直在利用最近剛剛得到修復(fù)的.NET漏洞攻擊美國(guó)各組織機(jī)構(gòu)（包括造船企業(yè)以及與軍方有關(guān)的高校研究中心）。

該黑客組織因利用名為“NanHaiShu”的遠(yuǎn)程訪問(wèn)木馬（簡(jiǎn)稱RAT）而聞名，且至少自2014年以來(lái)就一直相當(dāng)活躍。過(guò)去幾年當(dāng)中，該組織將矛頭指向與海運(yùn)事務(wù)相關(guān)的美國(guó)與西歐各機(jī)構(gòu)，包括多家海軍國(guó)防承包商以及研究機(jī)構(gòu)。

F-Secure公司去年發(fā)布的一份報(bào)告指出，該組織所發(fā)起的各項(xiàng)攻擊活動(dòng)實(shí)際上專門針對(duì)2016年“南海仲裁案”鬧劇中參與常設(shè)仲裁庭審判的各參與方——菲律賓司法部、亞太經(jīng)合組織APEC峰會(huì)組織者、國(guó)際律師事務(wù)所（ 美國(guó)福利·霍格律師事務(wù)所）。報(bào)告中包括幾項(xiàng)表明NanHaiShu惡意軟件確實(shí)擁有中國(guó)“血統(tǒng)”的證據(jù)。

該組織的最新一輪攻擊由Prrofpoint公司于今年9月中旬發(fā)現(xiàn)，其向一家美國(guó)造船企業(yè)以及一座與軍方相關(guān)的美國(guó)高校研究中心發(fā)送魚(yú)叉式釣魚(yú)郵件。這些郵件當(dāng)中附有可利用.NET安全漏洞CVE-2017-8759（SOAP WSDL解析器代碼注入漏洞）的文檔，然而該漏洞已經(jīng)在攻擊發(fā)動(dòng)前幾天就已被微軟方面修復(fù)。但在微軟發(fā)布修復(fù)補(bǔ)丁之前，該項(xiàng)漏洞已經(jīng)被某中東威脅組織用于傳遞間諜軟件。

Proofpoint公司還發(fā)現(xiàn)，該黑客組織早在今年8月初就曾經(jīng)發(fā)起多次攻擊，并利用CVE-2017-0199漏洞（Petya勒索病毒也利用該漏洞），這項(xiàng)Office安全漏洞此前同樣曾被其它組織所使用，并由微軟公司于今年4月發(fā)布補(bǔ)丁完成修復(fù)。

這些攻擊活動(dòng)主要針對(duì)多家國(guó)防承包商，且其中具體采用了惡意微軟Publisher文件、PowerPoint演示文稿以及專門仿冒軍艦與潛艇制造廠商的域名。

安全公司的研究人員對(duì)這些攻擊事件作出了分析，有研究人員指出該黑客組織目前已經(jīng)開(kāi)始將關(guān)注點(diǎn)轉(zhuǎn)向韓國(guó)。

除了NanHaiShu之外，這批攻擊者還曾經(jīng)利用“Orz”后門——該后門曾先后被用于早期攻擊以及2017年8月的最新攻擊活動(dòng)，且配合SeDLL與MockDLL等加載器外加Cobalt Strike滲透測(cè)試工具。

在某些情況下，研究人員們注意到該組織還會(huì)利用目標(biāo)機(jī)構(gòu)當(dāng)中的已入侵郵件帳戶將惡意附件發(fā)送給同機(jī)構(gòu)內(nèi)的其他對(duì)象，還利用被劫持的服務(wù)器實(shí)施命令與控制（簡(jiǎn)稱C&C）操作。

Prrofpoint公司的研究人員們?cè)谝黄┪闹薪忉尫Q，“這些工具、技術(shù)與目標(biāo)始終貫穿于其工作當(dāng)中，特別是考慮到他們對(duì)海軍與海上防務(wù)目標(biāo)的關(guān)注以及所使用的定制化后門。研究人員提醒符合該黑客組織目標(biāo)的特征的機(jī)構(gòu)應(yīng)當(dāng)特別警惕看似來(lái)自外部合法實(shí)體、但卻不請(qǐng)自來(lái)的電子郵件。”