南亚地区一直以来都是APT 组织攻击活动的活跃区域之一。自2013年5月国外安全公司Norman披露 Hangover 行动(即摩诃草组织)以来,先后出现了多个不同命名的APT组织在该地域持续性的活跃,并且延伸出错综复杂的关联性,包括摩诃草(APT-C-09、HangOver、Patchwork、白象)、蔓灵花(APT-C-08、BITTE)、肚脑虫(APT-C-35、Donot)、魔罗桫(Confucius)、响尾蛇(Sidewinder、APT-C-17) 等。
造成归属问题的主要因素是上述 APT 活动大多使用非特定的攻击载荷,各组织在使用的攻击武器方面也有不同程度的重合。脚本化和多种语言开发的载荷也往往干扰着归属分析判断,包括使用.Net、Delphi、AutoIt、Python、Powershell、Go等。但从历史攻击活动来看,其也出现了一些共性:
同时具备攻击Windows和Android平台能力;
巴基斯坦是主要的攻击目标,部分组织也会攻击中国境内;
政府、军事目标是其攻击的主要目标,并且投放的诱饵文档大多也围绕该类热点新闻。
普普提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。