資料來源:雷鋒網
物聯網智庫 轉載
導 讀
對待此類網絡攻擊,絕不容忍。
2020 實在是太難了。
開年之初,新冠肺炎以迅雷不及掩耳之勢迅速攻擊了全人類,截止目前,確診病例 35982 例,累計治癒出院病例 3281 例,累計死亡病例 908 例,而這些數字還在以不可知的速度上漲著,疫情的拐點也暫未出現。
更糟心的是,最近又有黑客團伙居然趁火打劫,借疫情攻入了我國的醫療系統、政府機構,實在可恨。今天就一起來看看這些「黑心」的團伙。
疑似台灣綠斑黑客團伙
據微步在線爆料,從 1 月下旬開始,微步在線就監測發現了多個可疑文件。這些可疑文件有的是政府工作表格 - 「基層黨組織和黨員防控疫情重大事項日報表」,而且和防疫有關,有的還是中醫藥相關的知識,而這些看起來沒有任何問題的表格,實際上是黑客們設的陷阱。
他們偽造了一個假的 QQ 郵箱,而這個郵箱地址是假的,頁面是假的,所謂的安全驗證也是假的,黑客只想要你的帳號和密碼——一旦你填寫了你的帳號和密碼,黑客在螢幕的另一端馬上就能收到。
更為可怕的是,這三個文件中沒有夾帶木馬病毒,殺毒軟體也不會發現,這意味著普通的殺毒軟體是無法排查的,一旦你不小心點擊,那麼你的信息就會完全暴露在黑客面前,而黑客們攻擊的目標還是政府部門,安全風險將會更大。
微步在線根據長期跟蹤境外黑客團伙的經驗,初步判斷這伙黑客的手法與我國台灣某個具有政治背景的黑客團伙「綠斑」高度一致,建議相關各單位引起重視,並進行對郵箱等個人帳號的嚴格排查,增強網絡安全意識,保護好帳號密碼,必要時通過第三方認證登錄。
印度APT黑客組織
2 月 4 日,360 安全大腦捕獲了一例利用新冠肺炎疫情相關題材投遞的攻擊案例,攻擊者利用肺炎疫情相關題材作為誘餌文檔,對抗擊疫情的醫療工作領域發動 APT 攻擊。
該攻擊組織採用魚叉式釣魚攻擊方式,通過郵件進行投遞,利用當前肺炎疫情等相關題材作為誘餌文檔,部分相關誘餌文檔如:武漢旅行信息收集申請表.xlsm,進而通過相關提示誘導受害者執行宏命令。
宏代碼如下:
攻擊者將關鍵數據存在 worksheet 里,worksheet 被加密,宏代碼裡面使用 key 去解密然後取數據。然而,其用於解密數據的 Key 為:nhc_gover,而 nhc 正是國家衛生健康委員會的英文縮寫。
一旦宏命令被執行,攻擊者就能訪問 hxxp://45.xxx.xxx.xx/window.sct,並使用 scrobj.dll 遠程執行 Sct 文件。
攻擊者利用新冠肺炎疫情相關題材作為誘餌文檔,進行魚叉式攻擊時,醫療機構、醫療工作領域成為此次攻擊的最大受害者。
一旦其「攻擊陰謀」得逞,輕則丟失數據、引發計算機故障,重則影響各地疫情防控工作的有序推進,危及個人乃至企業政府等各機構的網路安全。尤其面對這等有著國家級背景的 APT 組織的攻擊,後果簡直不堪設想。
據悉,此次攻擊所使用的後門程序與之前 360 安全大腦在南亞地區 APT 活動總結中已披露的已知的印度組織專屬後門 cnc_client 相似,通過進一步對二進位代碼進行對比分析,其通訊格式功能等與 cnc_client後門完全一致。可以確定,攻擊者來源於印度的 APT 組織。
對此,專家建議:
1、及時升級作業系統以及應用軟體,打全補丁,尤其是 MS17-010、CVE-2019-0708 等高危漏洞的補丁。由於 Windows 7操 作系統已經停止推送更新補丁,建議有條件的更新到Windows 10作業系統。
2、 及時更新已部署的終端、邊界防護產品規則。
3、 儘量減少各種外部服務的暴露面(如 RDP,VNC 等遠程服要設置白名單訪問策略,設置足夠強壯的登陸密碼,避免黑客利用遠程服務攻入。
4、 增強人員的網絡安全意識,不打開不明郵件,郵件中的不明連結、附件等。
5、 常用辦公軟體應保持嚴格的安全策略,如禁止運行Office宏等。
其他利用「新冠肺炎」的網絡釣魚攻擊
在美國,黑客冒充疾病預防控制中心和病毒專家,針對個人進行網絡釣魚攻擊。
網絡釣魚模擬和安全意識培訓機構 KnowBe4 的研究人員發現了這些網絡釣魚活動,攻擊者號稱會提供周圍區域的感染列表,以此誘騙潛在的受害者點擊郵件中嵌入的連結並進入釣魚頁面。
在 KnowBe4 發現的網絡釣魚電子郵件樣本中,攻擊者嘗試將其垃圾郵件偽裝成由 CDC(疾病預防控制中心)的 Health Alert Network(健康警報網絡)分發的官方警報。然後,告知攻擊目標——疾病預防控制中心已經建立了事件管理系統,以協調國內外公共衛生對策。然後,攻擊者以連結的形式誘使他們接收其城市周圍新感染病例的更新列表。而結果是,攻擊者通過釣魚頁面收集並竊取了用戶憑證。
安全公司 Mimecast 也發現了另一起利用新型冠狀病毒誘餌的網絡釣魚活動,這次是針對美國和英國人。在這一系列的網絡釣魚電子郵件中,則要求收件人「仔細閱讀所附文件中有關冠狀病毒傳播的安全措施」,並強調這些安全措施的重要性促使攻擊目標下載惡意 PDF ,而該 PDF 中的惡意軟體有效載荷將感染其計算機。
以上提到的網絡安全攻擊或許只是冰山一角,還有很多我們未曾監測到的,所以雷鋒網在這裡還是要建議大家對郵件或其他渠道傳播的含有冠狀病毒感染解決方法或安全措施的文件保持警惕,不要隨意下載或打開文件名中帶有「武漢疫情」、「新型冠狀病毒」等熱點詞彙的 exe 、csr 等可執行文件。
在技術上,實施可靠的網絡安全解決方案,例如防病毒解決方案;在電子郵件網關上實施過濾器,並在防火牆處阻止可疑 IP 地址。
在個人網絡衛生習慣上,建議使用強密碼並且不啟用附件宏。
參考來源:
疑似台灣綠斑黑客團伙的虛假「疫情統計表格」和「藥方」
那個借新型肺炎對我國發起攻擊的黑客組織叫印度「白象」
境外黑客揚言將攻擊我國視頻監控系統,360物聯網安全支招如何」免疫」攻擊
拙劣至極!南亞APT組織借新冠疫情對我國醫療機構發起定向攻擊!
註:文中圖片為爆料者提供