2020 實(shí)在是太難了。

開年之初，新冠肺炎以迅雷不及掩耳之勢(shì)迅速攻擊了全人類，截止目前，確診病例 35982 例，累計(jì)治愈出院病例 3281 例，累計(jì)死亡病例 908 例，而這些數(shù)字還在以不可知的速度上漲著，疫情的拐點(diǎn)也暫未出現(xiàn)。

更糟心的是，最近，雷鋒網(wǎng)編輯發(fā)現(xiàn)黑客團(tuán)伙居然趁火打劫，借疫情攻入了我國的醫(yī)療系統(tǒng)、政府機(jī)構(gòu)，實(shí)在可恨。今天就跟隨雷鋒網(wǎng)(公眾號(hào)：雷鋒網(wǎng))編輯一起來看看這些“黑心”的團(tuán)伙。

一、疑似臺(tái)灣綠斑黑客團(tuán)伙

據(jù)微步在線爆料，從 1 月下旬開始，微步在線就監(jiān)測(cè)發(fā)現(xiàn)了多個(gè)可疑文件。這些可疑文件有的是政府工作表格 - “基層黨組織和黨員防控疫情重大事項(xiàng)日?qǐng)?bào)表”，而且和防疫有關(guān)，有的還是中醫(yī)藥相關(guān)的知識(shí)，而這些看起來沒有任何問題的表格，實(shí)際上是黑客們?cè)O(shè)的陷阱。

他們偽造了一個(gè)假的 QQ 郵箱，而這個(gè)郵箱地址是假的，頁面是假的，所謂的安全驗(yàn)證也是假的，黑客只想要你的賬號(hào)和密碼——一旦你填寫了你的賬號(hào)和密碼，黑客在屏幕的另一端馬上就能收到。

更為可怕的是，這三個(gè)文件中沒有夾帶木馬病毒，殺毒軟件也不會(huì)發(fā)現(xiàn)，這意味著普通的殺毒軟件是無法排查的，一旦你不小心點(diǎn)擊，那么你的信息就會(huì)完全暴露在黑客面前，而黑客們攻擊的目標(biāo)還是政府部門，安全風(fēng)險(xiǎn)將會(huì)更大。

微步在線根據(jù)長(zhǎng)期跟蹤境外黑客團(tuán)伙的經(jīng)驗(yàn)，初步判斷這伙黑客的手法與我國臺(tái)灣地區(qū)某個(gè)具有政治背景的黑客團(tuán)伙“綠斑”高度一致，建議相關(guān)各單位引起重視，并進(jìn)行對(duì)郵箱等個(gè)人賬號(hào)的嚴(yán)格排查，增強(qiáng)網(wǎng)絡(luò)安全意識(shí)，保護(hù)好賬號(hào)密碼，必要時(shí)通過第三方認(rèn)證登錄。

二、印度APT黑客組織

2 月 4 日，360 安全大腦捕獲了一例利用新冠肺炎疫情相關(guān)題材投遞的攻擊案例，攻擊者利用肺炎疫情相關(guān)題材作為誘餌文檔，對(duì)抗擊疫情的醫(yī)療工作領(lǐng)域發(fā)動(dòng) APT 攻擊。

該攻擊組織采用魚叉式釣魚攻擊方式，通過郵件進(jìn)行投遞，利用當(dāng)前肺炎疫情等相關(guān)題材作為誘餌文檔，部分相關(guān)誘餌文檔如：武漢旅行信息收集申請(qǐng)表.xlsm，進(jìn)而通過相關(guān)提示誘導(dǎo)受害者執(zhí)行宏命令。

宏代碼如下：

攻擊者將關(guān)鍵數(shù)據(jù)存在 worksheet 里，worksheet 被加密，宏代碼里面使用 key 去解密然后取數(shù)據(jù)。然而，其用于解密數(shù)據(jù)的 Key 為：nhc_gover，而 nhc 正是國家衛(wèi)生健康委員會(huì)的英文縮寫。

一旦宏命令被執(zhí)行，攻擊者就能訪問 hxxp://45.xxx.xxx.xx/window.sct，并使用 scrobj.dll 遠(yuǎn)程執(zhí)行 Sct 文件。

攻擊者利用新冠肺炎疫情相關(guān)題材作為誘餌文檔，進(jìn)行魚叉式攻擊時(shí)，醫(yī)療機(jī)構(gòu)、醫(yī)療工作領(lǐng)域成為此次攻擊的最大受害者。

一旦其“攻擊陰謀”得逞，輕則丟失數(shù)據(jù)、引發(fā)計(jì)算機(jī)故障，重則影響各地疫情防控工作的有序推進(jìn)，危及個(gè)人乃至企業(yè)政府等各機(jī)構(gòu)的網(wǎng)路安全。尤其面對(duì)這等有著國家級(jí)背景的 APT 組織的攻擊，后果簡(jiǎn)直不堪設(shè)想。

據(jù)悉，此次攻擊所使用的后門程序與之前 360 安全大腦在南亞地區(qū) APT 活動(dòng)總結(jié)中已披露的已知的印度組織專屬后門 cnc_client 相似，通過進(jìn)一步對(duì)二進(jìn)制代碼進(jìn)行對(duì)比分析，其通訊格式功能等與 cnc_client后門完全一致。可以確定，攻擊者來源于印度的 APT 組織。

對(duì)此，專家建議：

1、及時(shí)升級(jí)操作系統(tǒng)以及應(yīng)用軟件，打全補(bǔ)丁，尤其是 MS17-010、CVE-2019-0708 等高危漏洞的補(bǔ)丁。由于 Windows 7操 作系統(tǒng)已經(jīng)停止推送更新補(bǔ)丁，建議有條件的更新到Windows 10操作系統(tǒng)。

2、 及時(shí)更新已部署的終端、邊界防護(hù)產(chǎn)品規(guī)則。

3、 盡量減少各種外部服務(wù)的暴露面(如 RDP，VNC 等遠(yuǎn)程服要設(shè)置白名單訪問策略，設(shè)置足夠強(qiáng)壯的登陸密碼，避免黑客利用遠(yuǎn)程服務(wù)攻入。

4、 增強(qiáng)人員的網(wǎng)絡(luò)安全意識(shí)，不打開不明郵件，郵件中的不明鏈接、附件等。

5、 常用辦公軟件應(yīng)保持嚴(yán)格的安全策略，如禁止運(yùn)行Office宏等。

三、其他利用“新冠肺炎”的網(wǎng)絡(luò)釣魚攻擊

在美國，黑客冒充疾病預(yù)防控制中心和病毒專家，針對(duì)個(gè)人進(jìn)行網(wǎng)絡(luò)釣魚攻擊。

網(wǎng)絡(luò)釣魚模擬和安全意識(shí)培訓(xùn)機(jī)構(gòu) KnowBe4 的研究人員發(fā)現(xiàn)了這些網(wǎng)絡(luò)釣魚活動(dòng)，攻擊者號(hào)稱會(huì)提供周圍區(qū)域的感染列表，以此誘騙潛在的受害者點(diǎn)擊郵件中嵌入的鏈接并進(jìn)入釣魚頁面。

在 KnowBe4 發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚電子郵件樣本中，攻擊者嘗試將其垃圾郵件偽裝成由 CDC(疾病預(yù)防控制中心)的 Health Alert Network(健康警報(bào)網(wǎng)絡(luò))分發(fā)的官方警報(bào)。然后，告知攻擊目標(biāo)——疾病預(yù)防控制中心已經(jīng)建立了事件管理系統(tǒng)，以協(xié)調(diào)國內(nèi)外公共衛(wèi)生對(duì)策。然后，攻擊者以鏈接的形式誘使他們接收其城市周圍新感染病例的更新列表。而結(jié)果是，攻擊者通過釣魚頁面收集并竊取了用戶憑證。

安全公司 Mimecast 也發(fā)現(xiàn)了另一起利用新型冠狀病毒誘餌的網(wǎng)絡(luò)釣魚活動(dòng)，這次是針對(duì)美國和英國人。在這一系列的網(wǎng)絡(luò)釣魚電子郵件中，則要求收件人“仔細(xì)閱讀所附文件中有關(guān)冠狀病毒傳播的安全措施”，并強(qiáng)調(diào)這些安全措施的重要性促使攻擊目標(biāo)下載惡意 PDF ，而該 PDF 中的惡意軟件有效載荷將感染其計(jì)算機(jī)。

以上提到的網(wǎng)絡(luò)安全攻擊或許只是冰山一角，還有很多我們未曾監(jiān)測(cè)到的，所以雷鋒網(wǎng)在這里還是要建議大家對(duì)郵件或其他渠道傳播的含有冠狀病毒感染解決方法或安全措施的文件保持警惕，不要隨意下載或打開文件名中帶有“武漢疫情”、“新型冠狀病毒”等熱點(diǎn)詞匯的 exe 、csr 等可執(zhí)行文件。

在技術(shù)上，實(shí)施可靠的網(wǎng)絡(luò)安全解決方案，例如防病毒解決方案;在電子郵件網(wǎng)關(guān)上實(shí)施過濾器，并在防火墻處阻止可疑 IP 地址。

在個(gè)人網(wǎng)絡(luò)衛(wèi)生習(xí)慣上，建議使用強(qiáng)密碼并且不啟用附件宏。

參考來源：

疑似臺(tái)灣綠斑黑客團(tuán)伙的虛假“疫情統(tǒng)計(jì)表格”和“藥方”

那個(gè)借新型肺炎對(duì)我國發(fā)起攻擊的黑客組織叫印度“白象”

境外黑客揚(yáng)言將攻擊我國視頻監(jiān)控系統(tǒng)，360物聯(lián)網(wǎng)安全支招如何”免疫”攻擊

拙劣至極!南亞APT組織借新冠疫情對(duì)我國醫(yī)療機(jī)構(gòu)發(fā)起定向攻擊!

注：文中圖片為爆料者提供