康师傅全力支援抗疫一线医院回信表达必胜信心

中新网2月10日电 自疫情发生以来,康师傅集团第一时间启动了社会责任应急预案,迅速进行全面动员,在全国展开了“出征护航、健康是福”抗疫支援行动。康师傅北京区域办公室春节假期就主动联系定点医院,协调各公司部门,组织员工及时送达爱心物资。截止到2月5日,康师傅已向北京的12家定点医疗机构的4500多名一线医护人员捐赠了爱心物资。这些物资包括1450箱方便面、1850箱饮品、500箱方便食品。康师傅精心选择了不同风味的方便面,和饮用水、乳酸菌、咖啡等饮品,美味的方便食品,以便让辛劳的一线医护人员能够及时吃上一碗热腾腾的面,喝上一瓶饮品,感受到温暖的爱心,增强战胜疫情的信心。

图6.2    Twitter平台上的一名攻击者的首条消息的问候

至今已发现有数名攻击者在配合发布钓鱼信息,发布地点涉及了三个网站与三个社交平台(视频平台YouTube、聊天平台Telegram和社交平台Twitter)。钓鱼消息使用的语言均为阿拉·伯语,仅从YouTube平台进行评估,约有万名用户可能受到攻击影响。

图3.8    已发现到的Twitter平台上该组织最早攻击者发起的定向攻击片段

同时,支持餐饮行业开展线上餐饮服务。除暂不举办大型聚集性餐饮消费活动外,鼓励餐饮经营单位快速开通线上餐饮服务、网络配送等服务,拓宽营业渠道,保障群众日常生活和企业复工复产中的餐饮服务需求。倡议各餐饮配送单位开展无接触配送服务。培养文明用餐良好习惯。提倡分餐自取、公筷公勺等方式,防止交叉感染。住宿餐饮经营单位要提高员工的自我卫生管理能力,佩戴口罩上岗,服务过程中尽量减少与顾客近距离接触。

此次攻击样本进行带正常应用功能的伪装采用了两种伪装方式:一种是通过插包的方式,直接和正常应用整合在一起,整个过程只有一个应用;另一种是运行后,会释放出正常的应用包,诱导用户安装正常应用进行正常使用,而自身再进行隐藏图标,在后台进行间谍活动,整个过程实际有两个应用。

图3.7     四个攻击者在Twitter平台上发起的未定向钓鱼攻击片段

从整个攻击中,我们总结了诺崇狮组织以下特点:

自年前看到武汉封城的消息后,他的心中便开始忐忑:“万一成都也封锁了,到时候回不去,很多工作怎么做呢”。于是,他在大年初二便主动向校长刘凯请示,希望能回到学校参与抗疫保教工作。得到批准后,便匆匆收拾行囊从达州赶回成都。

六、  攻击组织溯源分析

图6.1    Twitter平台上的两名攻击者间的一次交流

(2)在Gem-Flash网站进行发布虚假游戏信息,诱导用户进行恶意载荷的下载。攻击者(“wafa3”)应该和Qassimy上发布的为同一个,此次钓鱼信息里还带有指向YouTube的一个引链。

在Twitter社交平台上,诺崇狮组织除了使用水坑攻击进行广泛传播外,还使用了数十次的定向鱼叉攻击。我们抽看了其中一些被该组织攻击的目标账号,有不少账号显示已被冻结或者在之后的很长时间里没有再更新过,成了永久的“沉默账号”。

大年初四奔赴抗疫一线,费尽周折筹措防控物资

诺崇狮组织掌握有一个由大量机器人及雇佣而来的成百上千名年轻人组成的虚拟团队,用于传播虚假信息和亲政府宣传,长期以来其一直专注于监视攻击,使国内外的批评者保持沉默,其能够利用昂贵的间谍软件瞄准生活在世界另一端的持不同政见者。

学校人口多、用量大,怎样才能购买到足量的口罩呢?朱帅为此发了愁。后来,他和同事们通过亲朋好友的介绍,几经辗转联系上了几家卖口罩的工厂。但是,都没有购买成功,因为断货了。“有一次我们订金都已经交了,说是第二天给发货,但是第二天一大早便被通知口罩没有了。”朱帅愤愤地说道。一次一次燃起希望,又一次一次破灭,但是他们并没有就此放弃。几经周折,他们终于不负使命,买到了足量的口罩。与此同时,消毒水、酒精等物资也陆陆续续到位。因为他们的努力,到校值班、录课的教职工们的安全有了保障,退休教师的安全也有了保障。

听,都是赞美的声音!

(5)   其中一个攻击者第一条消息向账号“qahtan_tribe”发了个问候语,“qahtan_tribe”账号不久前还在使用卡塔尼的头像,结合该账号的信息及权力,看起来其甚至有着和Twitter一样地位的“权限”。

目前已经关联到的攻击活动时间线总结如下:

诺崇狮组织为避免攻击时被用户察觉到,对攻击样本采用了图标伪装和功能伪装两种形式。通过图标伪装攻击样本把图标换成正常应用的图标;通过功能伪装攻击样本除了带有在后台进行间谍活动的功能,还带有正常应用的功能支持在前端界面展现,让用户难于察觉。

自名为“Operation Restoring Hope” 的也门干预行动当天,也就是2015年4月22开始,截至2018年世界杯结束后的数月里,有一个网络攻击组织一直持续针对阿·拉伯用户、什叶派及评论人士进行展开攻击,在攻击后我们发现不少被攻击的社交平台账号变成“沉默账号”,在目前已知的APT组织中均未发现和该组织有重叠,因此奇安信红雨滴把其归属为一个新的组织:诺崇狮组织。

“咦,这个体育老师,不一样!”

《意见》指出,做好复工营业食品安全保障工作,强化从业人员健康管理。住宿餐饮经营单位恢复营业前,应建立返岗从业人员健康台账,营业后每日对从业人员进行晨检和体温监测。食品从业人员所持健康证明在我省启动重大突发公共卫生事件Ⅰ级响应后有效期届满,因受疫情防控影响暂时无法重新进行健康检查的,其健康证明视为继续有效,应在辽宁省重大突发公共卫生事件Ⅰ级响应解除之日起按照有关规定及时办理。

他每天都为同事们不顾危险坚持到校给学生上网课的精神感动不已。他知道,有的老师生了病依然坚持,有的老师本来没课却主动请缨……棠中人的刻苦实干,让他一次次为之动容。他激动地说:“我们学校的老教师们都能克服重重困难,到校学习熟练网课直播操作技术,为学生提供高质量的网络课程,我们年轻人更应该努力向前,勇当先锋。”

(6)在Twitter平台上,已发现到该组织的四个攻击者发布了未定向的多条不同内容的钓鱼信息进行广泛传播。

Androrat是一款开源在GitHub上的远程管理工具,包含有基本的远控功能,且可以根据自身能力扩展更丰富的监控功能,支持攻击者在PC上对受害用户手机进行远程操控。

从老教师身上汲取成长品质,传承棠中精神

疫情防控、校园安全、师生健康……繁重的工作让朱帅费神又劳心,但他没有丝毫的怨言。因为他的心中有一个榜样,有一个坚定的声音。每当疲累时,他就会想起刘凯校长在疫情期间所说的一句话——只要老师在,我一定就在学校!这句话带给了朱帅很大的触动和鼓舞。所以他更加坚定了自己的想法,“校长都在学校,我更要在学校。我们棠中的老教师,每一代都是在这样平凡的工作中做着不平凡的事情,用坚守创造着奇迹。我认为年轻人就应该在这些平凡的事情中去汲取营养,锻造精神”。

此次诺崇狮组织的攻击主要发生在公开的社交媒体平台。近几年,公开的社交媒体平台成为了某几个国家电子军的另一个战场,我们也看到多个社交媒体平台也都在致力应对,当然我们也知道这种威胁不是在短期能够解决避免的,这需要多方配合一起努力才能有效遏制。

此外,跟踪监测健康信息。执行体温检测制度,对就餐、入住的顾客做到监测信息记录准确无误,备案留存。有条件地区可借鉴沈阳市“健康通行码”的做法,推荐采取张贴美团“安心码”等电子化手段,加强信息跟踪。(完)

SpyNote类似Droidjack,也是一款流行的商业RAT。其支持的功能更丰富些,售价相对更贵,根据不同场景需求目前官方有两种价位($499和$4000)。

辽宁餐饮服务单位要严格执行《餐饮服务食品安全操作规范》,落实食品安全主体责任。所有原材料应保持新鲜,严禁经营、储存野生动物及其制品,严禁在餐饮服务场所饲养和宰杀畜禽等动物,严禁采购不明来源的食材。海鲜类食品要烧熟煮透,不提倡生食。

图1.1   诺崇狮组织在多个网站和社交平台上发起攻击的时间线

据介绍,辽宁全面实行食品经营许可、小餐饮经营许可网上审批,在线核验营业执照,发放电子证书。对预包装食品经营许可、经营条件未发生变化的食品经营许可变更(延续)实行告知承诺制。对申请小餐饮许可实行告知承诺的,在疫情解除后60日内完成现场核查。因疫情影响未能按时办理食品经营许可换证的,有效期顺延至疫情解除后30日。

鼓励餐饮行业采用灵活多样的经营模式。在店堂食要合理安排就餐空间,采取拉开餐桌间距、隔桌安排就餐、物理隔离用餐等措施。提供包房服务的,要合理通风、隔位就餐,并及时做好消毒处理。鼓励住宿餐饮经营单位采取离柜点餐、预约就餐、错时堂食、叫号取餐、间隔排队以及扫码支付结算等多种形式服务,避免出现人员聚集现象。

除了完成储备物资的工作之外,朱帅还积极主动地承担更多的防疫工作,他说:“不仅要多干,还要干好”。作为学校团委副书记,朱帅始终牵挂着学生在家的学习、健康、生活等方面的情况。为了增长学生们科学防疫的知识,他通过多种形式向学生进行科普,并让学生以“小报”的形式给出解答;为了让宅家的学生加强锻炼、保持健康,他率先联合学校体育老师谢川、朱晋锋等一起制作运动小视频,对每一个动作进行详细的讲解和示范,方便学生学习锻炼;为了增强学生的劳动实践能力,他主动联系班主任,请班主任们鼓励学生积极参与做饭、打扫卫生、洗衣服等家务劳动,既让同学们在劳动中成长,又促进了家庭和谐。

四、攻击样本的诱导伪装形式

图3.4     两个攻击者在YouTube平台上发布的钓鱼信息

“疫情来了,学校肯定有许多紧急的事情需要人去做,我一定要回到学校”。所以,朱帅在大年初四便和同事一起投入了学校防疫保教工作中。当时,最紧急、最难的工作莫过于购买防控物资,为了给全校师生储备足量的防控物资,他和同事费尽周折。

注:此处友情提醒广大安全友军,载荷投递的链接有防盗保护,所以流程有没有抓取到呢?

(7)此外还有一个钓鱼网站,目前看其主页面荒废了有一阵子,故在此略过。

如果你是公开的社交媒体平台的一名用户,请务必保持安全防范意识,安装上必要的官方来源安全防护软件,做好个人敏感隐私数据不在公开的社交媒体平台上或者甚至不公开,不轻易点击或者接收其他人发来的图片、视频及链接等!

(4)在YouTube平台上,目前已发现到有两个钓鱼攻击者;其中名叫“Nothing”的攻击者,发布了四次钓鱼信息,按观看数进行评估,约有万名YouTube用户收到钓鱼信息。另外,值得注意的是该攻击者在YouTube上发布的其中一个钓鱼信息地址被上面Gem-Flash网站的名为“wafa3”的攻击者使用在其钓鱼信息中当做引链,类似的还可以经常看到该组织下不同钓鱼攻击者之间的相互配合。

(1)攻击者在Qassimy游戏网站进行发布虚假游戏信息,诱导用户转向钓鱼网站进行恶意载荷的下载。

Twitter是该组织的主战场,因为Twitter被当作广受欢迎的新闻发布平台。诺崇狮组织可能培养了两名Twitter员工,尝试访问持不同政见者和激进分子的私人信息,包括电话号码和IP。后Twitter在2015年11月11日,向几十个被其中一名前Twitter员工访问过帐户的所有者发出了安全通知:“作为预防措施,我们提醒您,您的Twitter帐户是一小部分帐户之一,这些帐户可能是由国家赞助的参与者所针对的”。在2019年9月20日,Twitter又发出了一个新披露通知,宣布永久暂停了一个名为卡塔尼(Saud al-Qahtani)的Twitter账号。

从大年初四到今天,一个多月的时间里,朱帅每天都在这些拉拉杂杂的琐碎事情中奔走,但他却乐在其中,他说:“这些事情总要有人做,我年纪轻轻如果不做事,内心就会感到愧对岗位愧对学校,彻夜难安。”

疫情就是命令。为保证物资及时送到一线医护人员手中,康师傅北京区域办公室与北京各行销公司在节前就成立由区主任和各公司总经理组成的“出征护航、健康是福”工作组,协调组织北京区域的支援行动。首先联合健康时报联系到北京三家定点医院,于大年初四,就将第一批物资送到定点医院。随后他们又夜以继日工作,联系北京大学医学部及所属的各家定点医院,持续开展支援一线行动。

令人感动的是,各家定点医院为支援行动提供了各种便利,有的医院还主动帮助员工做好防护。对康师傅迅速有力的支援行动,一线医护人员表示十分感动。一家医院在给康师傅的感谢信中说,爱心无界,情义无价。或许我们素昧平生,但“博爱、奉献”的精神把我们紧密地联系在一起。我们坚信在党的坚强领导下,在医务工作者的科学救治下,加之广大爱心企业和爱心人士的鼎力相助,我们一定能够战胜病魔。

(3)世界杯期间,在ADSGASTE数字门户网站进行发布虚假的世界杯播放应用信息,诱导用户转向钓鱼网站进行恶意载荷的下载。

而作为安全厂商,在这个万物互联的时代,如何根据不同的客户场景定制出对应的有效安全防护产品和策略,做到能及时查杀拦截及发现,做好保障住国家安全、用户生命财产安全及数据安全,是我们当下最首要需要攻克的命题,望一起坚定信念,不停探索,共同奋斗。

“这个年轻人,不错不错。”

有一句话这样形容Dota游戏里的一名角色人物—-沉默术士(诺崇):一切魔法,遭遇了他,都将归于寂静。其后半句用在该攻击组织上相当吻合,再加上该组织的震慑力和其中的配合如同狮群,故我们将其命名为诺崇狮组织。随着该组织所属相关领导者近期可能发生的变动,该组织有可能会再度活跃。

诺崇狮组织在攻击活动展开期间,红雨滴团队捕获到其至少投入近十名攻击投递者在多个网站和社交平台上进行非定向的水坑传播式钓鱼攻击及定向目标的鱼叉攻击。

图4.1    恶意攻击样本采用的伪装图标

把每一份工作干好,是他的做事准则

随着抗疫行动的进展,康师傅北京区域还努力协调好支援抗疫和保市场供应两个方面的工作。在保证安全健康的前提下,有序安排好员工返岗和居家开展工作。员工们互相支持,主动承担去支援前线员工的工作任务,实现抗疫支援和市场供应两不误。康师傅员工纷纷表示,支援抗疫,重在行动,只要一线有需要,一定继续积极参与,为打赢抗疫阻击战贡献力量。

棠湖中学老校区情况特殊,人流比较密集。他就联合学校教师,挨个对老校区的住户进行调查,共计排查140多户。此外,他还联系保安处给老校区的宿舍区设置一处出入检查关卡,全天候检查进出人员健康状况。同时向住户做好解释说明,得到大家的认可和支持,确保老校区的安全保障工作落到实处。

(3)   攻击队伍较大,有大量的Twitter账号。

Droidjack是一种非常流行的商业RAT,目前官方售价$210。其功能强大,支持在PC上对手机进行远程操控,使用很方便。

(二)带正常应用功能进行伪装

类似的,该组织还会操纵YouTube和Facebook平台,于此就不再展开描述。

“棠中的老师,很优秀。”

MobiHok价格不菲,有4种价位($700、$6500、$11000和$20000),曾是阿·拉伯地区流行的商业RAT,目前已被汉化引入,详情请参阅我们此前发布过的历史报告《阿拉·伯木马成功汉化,多款APP惨遭模仿用于攻击》。

(4)   根据两个攻击者间的交流目的是为了改变评论者,而攻击后的结果是被攻击者变成了“沉默账号”。

(1)   针对的目标包含:懂阿·拉伯语的人、什叶派人等

对他而言,疫情期间的种种经历,都是宝贵的成长机会。他在逆行中不断地成长自己,完善自己;也在逆行中潜移默化地改变了许多人对体育老师的看法。

康师傅北京区域的各岗位员工表现了极大的抗疫热情。1月28日,正月初四,听说有向一线支援物资任务,康师傅所属顶益公司的批发业务王友主动请战,从门头沟乘公交然后打车赶到医院帮助运送物资。他说,“我们虽然不能上一线抗疫,但是一定能做好物资支援”。北京顶园订单管理负责人庞晓鹏考虑到自己居住在社区并有车,应该多为抗疫尽力,听到有支前任务,立即开着私家车赶到现场。北京顶津核心经销部部长丛福龙,平时主管核心经销业务,正月初四接到支援任务后,知道现在是非常时期,自己作为主管,应该冲到前头,加入支援抗疫队伍,带动其他员工到医院一起搬运物资。在这次的支援中,物流运输非常关键,顶通公司的几位司机师傅,多次前往定点医院运送物资。面对风险和担心,他们认真做好防护,保证自身安全,同时也想到医护人员冒着更大的风险在战斗,自己有责任尽已所能,以实际行动支持一线。顶益公司营管王立颖春节期间在家里协调排货,连夜派单,一刻也不耽误。

至今,诺崇狮组织在其历史攻击活动里已使用了四种移动端的RAT,包括开源的RAT(AndroRat)和三种商业RAT(SandroRat、SpyNote及MobiHok)。这些RAT都是很成熟的间谍木马,用户手机一旦安装即刻能被攻击者完全控制。

攻击样本伪装了几类软件的不同应用:游戏类应用(“Clash of Clans”和“Ludo”)、直播类应用(“Bigo live”和“worId cup”注:红色的是大写的i字母,非字母L) 和一些工具类应用。

sartasar.com