南亚APT组织Bitter正在针对中国的核能机构进行网络攻击

Bitter（蔓灵花）是一个长期活跃的南亚网络间谍组织，主要针对能源和政府部门实施敏感资料窃取等恶意行为，过去曾攻击过巴基斯坦、中国、孟加拉、沙特阿拉伯等国，具有明显的政治背景。

该APT组织主要采用鱼叉钓鱼等攻击方式，通常会向攻击目标单位的个人发送嵌入攻击诱饵的钓鱼邮件。在其最近的攻击中，网络安全公司Intezer发现了七封伪装成来自吉尔吉斯斯坦大使馆的电子邮件，这些电子邮件被发送给了中国核能行业相关人员，另外还有部分核能学术界的人员也收到了这类邮件。

攻击者在这些作为诱饵的邮件上向收件人发送了参与核能相关主题会议的邀请，实则是在诱骗收件人下载并打开其RAR附件。这些附件解压后看似是与主题相关的常见的excel、word、jpg等文件，但在受害者运行后，受害者以为自己打开的是普通文档，实则已暗地里执行了恶意文件，被攻击者接手了设备控制权。

这些钓鱼邮件之中包含了许多社会工程技术。例如，用于发送这些钓鱼邮件的发送人名称和电子邮件地址都经过精心设计，使其看起来像是来自“驻北京大使馆”；邮件上还注明了吉尔吉斯斯坦驻华大使馆实际随员的姓名和其他详细信息。如果收件人使用搜索引擎检查该姓名，他们会在吉尔吉斯斯坦外交部网站上找到相对应的信息，受害者反而会因此而放松了警惕。另外，邮件主题和正文还使用了诸多该行业人员熟悉的专业术语。

Bitter APT多年来一直在使用包括网络钓鱼在内的多种策略进行间谍活动，政府、能源、军工领域的实体应对此保持警惕。同时其他行业的公司员工也需要对网络钓鱼邮件持有良好的安全意识。