日前，安恒信息研究院在其微信公众号“网络安全研究宅基地”发表文章《韩国“伪猎者”APT组织利用多款国产化软件漏洞对中国的攻击活动》。文章指出，安恒猎影实验室近期捕获一起“伪猎者”APT组织的攻击，并发现其主要针对国产化办公软件。

　　“伪猎者”APT组织

　　根据《2023年全球高级威胁态势研究报告》介绍，伪猎者，是国内安全厂商于2021年披露的APT组织。早期活动目标以我国人力资源和贸易相关单位为主，攻击活动多使用鱼叉式网络钓鱼邮件，内含伪装成简历的恶意文件。

　　作为近年来对我国攻击频率最高的APT组织之一，该组织2023年将攻击目标扩充到军事领域，下发包含LNK文件的VHD格式的恶意文件，后续载荷调用的路径、文件名、导出函数名、加密参数、字符串等都通过与C2地址通信获取，并通过AES解密。

　　APT是一种针对性、隐蔽性、持续性极强的网络攻击行为，其攻击目标为政府、大学、医疗、企业、科研等信息基础设施运维单位等重要组织机构。

　　针对办公领域漏洞攻击

　　文章显示，安恒猎影实验室在深入研究后发现，“伪猎者”组织已掌握多个国产化0day武器，如某国产办公软件0day漏洞，只需根据诱导点击一次，就足以使目标失陷；如某国产邮箱软件0day漏洞，用户使用客户端打开邮件时，无需其它任何操作，攻击者就可以执行恶意代码进而控制目标；另一款国产邮箱软件XSS漏洞，被攻击者用来隐蔽地窃取用户邮箱的Cookies，从而使攻击者无需密码即可登录邮箱，进而窃取邮箱内的信件，或者利用该邮箱向其他人发送钓鱼邮件等。

　　安恒猎影实验室指出，“伪猎者”利用此类漏洞进行攻击，表现出其对我国目标的针对性。截至目前，上述国产化办公软件漏洞均已于第一时间修补完成。

　　随着信息技术的不断发展和普及，国产化软件已经成为我国信息化建设的重要组成部分。尤其在办公软件领域，多款办公应用有着庞大的应用群体、动辄数以亿计的用户，且广泛应用于政府部门、企事业单位。

　　安恒信息研究院院长王欣认为，正因为如此，国产化软件近年来越来越多的成为网络攻击、实施间谍窃密活动的重点目标。软件漏洞向来是APT组织对目标进行攻击，运行木马的入口点。及时对系统、软件进行升级，可以大大减少被攻击者利用漏洞进行攻击的可能性。

　　如何提升国产化软件的安全防护水平，已经成为当前的重中之重。有专家指出，随着国产化软件在信息化建设中的广泛应用，其安全性已成为国家安全的重要组成部分。此次事件再次提醒我们，必须高度重视国产化软件的安全问题，加强漏洞挖掘与修复工作。

　　同时，用户是信息安全的第一道防线。提高用户的安全意识，教育用户识别并防范钓鱼邮件、恶意链接等攻击手段，对于降低安全风险具有重要意义。（辛华）