19日晚间，中国网络安全企业安天科技集团将要发布的一篇报告披露，针对中国和巴基斯坦等国政府、国防等实体实施规模性定向网络攻击的攻击团队“幼象”的人员分布在印度德里等地，该组织是当前南亚地区最为活跃的网络攻击组织之一。

此前安天安全研究与应急处理中心（安天CERT）发布报告表示，今年3月以来，安天已捕获多起针对我国和南亚次大陆国家的“钓鱼”攻击活动，攻击方来自印度。这些活动涉及网络节点数目众多，主要攻击目标为中国、巴基斯坦等国家的政府、国防军事以及国企单位。最新报告则聚焦在“幼象”组织，对该组织在南亚地区的网络攻击活动进行全方位分析，将对方攻击目标、攻击技术、攻击装备进行全面披露，将身穿“隐身衣”，躲在屏幕后的攻击者曝光于天下。

安天科技集团副总工程师李柏松首先介绍“幼象”网络攻击组织的由来：“安天CERT最早监测到‘幼象’活动是在2017年，当时出现了一批针对南亚地区国家政府、军事、国防等部门的规模性定向网络攻击。根据对相关攻击活动的分析研判发现，攻击组织疑似来自印度，而且与此前发现的来自印度的另一个被安天命名 ‘白象’的网络攻击组织并不相同。该组织有自己的一套相对独立的攻击资源和攻击工具，但当时攻击能力相对比较初级，可能是一个新组建的攻击团队，技术能力上尚不成熟。因此我们将这个新的高级威胁组织命名‘幼象’。”

四年过去了，这支“幼象”肆意妄为，攻击目标不断扩大。李柏松表示， “从2017年迄今， ‘幼象’攻击活动的规模数量逐年倍增，攻击手法和攻击资源逐渐丰富，且攻击目标也从初期仅为南亚地区开始覆盖更多的地区。2021年，该组织开始向中国的相关机构进行情报窃取的定向攻击活动。”

安天监测到，该组织采取的攻击方式包括搭建钓鱼网站、使用恶意安卓应用程序攻击手机，用Python等语言编写的木马窃取电脑上的各种文档文件、浏览器缓存密码和其他一些主机系统环境信息。

比如，“幼象”曾仿冒成尼泊尔军队、警察、政府等部门（如尼泊尔外交部、国防部、总理办公室等）的邮件系统，针对性地向目标人群进行钓鱼攻击，其主要目的是获取目标人群邮箱账号信息，以便为后续的攻击活动做储备。此外，该组织通过恶意安卓应用程序伪装成印度-尼泊尔领土争端问题的民意调查App，当受害者安装并打开恶意安卓应用程序后，恶意安卓应用程序便会要求受害者授予其系统权限，成功获得权限后，其便监控受害者手机。

在安天此次披露的文件中，最为重要的一点是：“幼象”攻击者通过向国际公开的安全资源上传自己编写的木马，来测试木马逃逸杀毒软件的能力，但也因此暴露了其所在位置。通过资源检索，至少一名样本的上传者来自印度德里，其在2020-11-23至2020-11-24期间一共上传了8个测试性的恶意文件，而这些测试文件与已知的‘幼象’样本在代码内容上也存在高度同源。

“从历史上看，来自印度的一些攻击组织的活动隐蔽性并不强，一方面可能是组织攻击能力不够完善，但更多的则反映了攻击人员有恃无恐，因此一名人员的物理位置，也很大可能就是整个攻击组织所在地。”李柏松解释：“尽管相关的攻击方式在不断多样化，编写的恶意文件功能也更加丰富，但通过攻击目标、技战术、诱饵类型以及木马同源性等方面依然可以发现与 ‘幼象’组织的关联。首先，攻击活动的攻击目标高度重叠，如尼泊尔、巴基斯坦、阿富汗等印度周边国家。其次，使用的技战术、诱饵类型以及武器装备也与’幼象’的历史情况高度关联，如恶意的快捷方式、恶意HTA脚本、自研的Python木马以及自研的C++木马。同时两者的Python窃密木马都会将窃取的数据回传至自建的Gmail邮箱账号。此外，该组织使用的域名命名方式十分相似，都是模仿巴基斯坦、尼泊尔、斯里兰卡等国家的政府机构、国企单位官方域名，同时两者都喜欢使用美国网络服务提供商No-IP旗下的动态域名，如hopto.org、myftp.org等。因此我们判断相关攻击活动都归属于‘幼象’组织。”

李柏松表示，种种迹象显示，“幼象”已成长为南亚地区最为活跃和成熟的攻击组织之一，已经成为了南亚乃至整个亚太重要的网络安全威胁，从攻击活跃的频度来看，目前已有超越同源的 “白象” “苦象”组织的趋势，未来很有可能成为南亚的主要攻击组织，因此需要对其进行重点跟踪和关注。而遭遇“幼象” 组织攻击的南亚相关国家经济相对不发达，信息化运维和网络安全能力较弱，给了攻击组织可乘之机，但这些国家和其他国家一样，无论是在物理空间还是网络空间，都有捍卫本国主权、安全和发展利益的权力。