2020 實在是太難了。

開年之初，新冠肺炎以迅雷不及掩耳之勢迅速攻擊了全人類，截止目前，確診病例 35982 例，累計治愈出院病例 3281 例，累計死亡病例 908 例，而這些數(shù)字還在以不可知的速度上漲著，疫情的拐點也暫未出現(xiàn)。

更糟心的是，最近，雷鋒網(wǎng)編輯發(fā)現(xiàn)黑客團伙居然趁火打劫，借疫情攻入了我國的醫(yī)療系統(tǒng)、政府機構(gòu)，實在可恨。今天就跟隨雷鋒網(wǎng)編輯一起來看看這些“黑心”的團伙。

一、疑似臺灣綠斑黑客團伙

據(jù)微步在線爆料，從 1 月下旬開始，微步在線就監(jiān)測發(fā)現(xiàn)了多個可疑文件。這些可疑文件有的是政府工作表格 - “基層黨組織和黨員防控疫情重大事項日報表”，而且和防疫有關(guān)，有的還是中醫(yī)藥相關(guān)的知識，而這些看起來沒有任何問題的表格，實際上是黑客們設(shè)的陷阱。

他們偽造了一個假的 QQ 郵箱，而這個郵箱地址是假的，頁面是假的，所謂的安全驗證也是假的，黑客只想要你的賬號和密碼——一旦你填寫了你的賬號和密碼，黑客在屏幕的另一端馬上就能收到。

更為可怕的是，這三個文件中沒有夾帶木馬病毒，殺毒軟件也不會發(fā)現(xiàn)，這意味著普通的殺毒軟件是無法排查的，一旦你不小心點擊，那么你的信息就會完全暴露在黑客面前，而黑客們攻擊的目標還是政府部門，安全風(fēng)險將會更大。

微步在線根據(jù)長期跟蹤境外黑客團伙的經(jīng)驗，初步判斷這伙黑客的手法與我國臺灣地區(qū)某個具有政治背景的黑客團伙“綠斑”高度一致，建議相關(guān)各單位引起重視，并進行對郵箱等個人賬號的嚴格排查，增強網(wǎng)絡(luò)安全意識，保護好賬號密碼，必要時通過第三方認證登錄。

二、印度APT黑客組織

2 月 4 日，360 安全大腦捕獲了一例利用新冠肺炎疫情相關(guān)題材投遞的攻擊案例，攻擊者利用肺炎疫情相關(guān)題材作為誘餌文檔，對抗擊疫情的醫(yī)療工作領(lǐng)域發(fā)動 APT 攻擊。

該攻擊組織采用魚叉式釣魚攻擊方式，通過郵件進行投遞，利用當(dāng)前肺炎疫情等相關(guān)題材作為誘餌文檔，部分相關(guān)誘餌文檔如：武漢旅行信息收集申請表.xlsm，進而通過相關(guān)提示誘導(dǎo)受害者執(zhí)行宏命令。

宏代碼如下：

攻擊者將關(guān)鍵數(shù)據(jù)存在 worksheet 里，worksheet 被加密，宏代碼里面使用 key 去解密然后取數(shù)據(jù)。然而，其用于解密數(shù)據(jù)的 Key 為：nhc_gover，而 nhc 正是國家衛(wèi)生健康委員會的英文縮寫。

一旦宏命令被執(zhí)行，攻擊者就能訪問 hxxp://45.xxx.xxx.xx/window.sct，并使用 scrobj.dll 遠程執(zhí)行 Sct 文件。

攻擊者利用新冠肺炎疫情相關(guān)題材作為誘餌文檔，進行魚叉式攻擊時，醫(yī)療機構(gòu)、醫(yī)療工作領(lǐng)域成為此次攻擊的最大受害者。

一旦其“攻擊陰謀”得逞，輕則丟失數(shù)據(jù)、引發(fā)計算機故障，重則影響各地疫情防控工作的有序推進，危及個人乃至企業(yè)政府等各機構(gòu)的網(wǎng)路安全。尤其面對這等有著國家級背景的 APT 組織的攻擊，后果簡直不堪設(shè)想。

據(jù)悉，此次攻擊所使用的后門程序與之前 360 安全大腦在南亞地區(qū) APT 活動總結(jié)中已披露的已知的印度組織專屬后門 cnc_client 相似，通過進一步對二進制代碼進行對比分析，其通訊格式功能等與 cnc_client后門完全一致?？梢源_定，攻擊者來源于印度的 APT 組織。

對此，專家建議：

1、及時升級操作系統(tǒng)以及應(yīng)用軟件，打全補丁，尤其是 MS17-010、CVE-2019-0708 等高危漏洞的補丁。由于 Windows 7操 作系統(tǒng)已經(jīng)停止推送更新補丁，建議有條件的更新到Windows 10操作系統(tǒng)。 

2、 及時更新已部署的終端、邊界防護產(chǎn)品規(guī)則。

 3、 盡量減少各種外部服務(wù)的暴露面（如 RDP，VNC 等遠程服要設(shè)置白名單訪問策略，設(shè)置足夠強壯的登陸密碼，避免黑客利用遠程服務(wù)攻入。

 4、 增強人員的網(wǎng)絡(luò)安全意識，不打開不明郵件，郵件中的不明鏈接、附件等。

5、 常用辦公軟件應(yīng)保持嚴格的安全策略，如禁止運行Office宏等。

三、其他利用“新冠肺炎”的網(wǎng)絡(luò)釣魚攻擊

在美國，黑客冒充疾病預(yù)防控制中心和病毒專家，針對個人進行網(wǎng)絡(luò)釣魚攻擊。

網(wǎng)絡(luò)釣魚模擬和安全意識培訓(xùn)機構(gòu) KnowBe4 的研究人員發(fā)現(xiàn)了這些網(wǎng)絡(luò)釣魚活動，攻擊者號稱會提供周圍區(qū)域的感染列表，以此誘騙潛在的受害者點擊郵件中嵌入的鏈接并進入釣魚頁面。

在 KnowBe4 發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚電子郵件樣本中，攻擊者嘗試將其垃圾郵件偽裝成由 CDC（疾病預(yù)防控制中心）的 Health Alert Network（健康警報網(wǎng)絡(luò)）分發(fā)的官方警報。然后，告知攻擊目標——疾病預(yù)防控制中心已經(jīng)建立了事件管理系統(tǒng)，以協(xié)調(diào)國內(nèi)外公共衛(wèi)生對策。然后，攻擊者以鏈接的形式誘使他們接收其城市周圍新感染病例的更新列表。而結(jié)果是，攻擊者通過釣魚頁面收集并竊取了用戶憑證。

安全公司 Mimecast 也發(fā)現(xiàn)了另一起利用新型冠狀病毒誘餌的網(wǎng)絡(luò)釣魚活動，這次是針對美國和英國人。在這一系列的網(wǎng)絡(luò)釣魚電子郵件中，則要求收件人“仔細閱讀所附文件中有關(guān)冠狀病毒傳播的安全措施”，并強調(diào)這些安全措施的重要性促使攻擊目標下載惡意 PDF ，而該 PDF 中的惡意軟件有效載荷將感染其計算機。

 以上提到的網(wǎng)絡(luò)安全攻擊或許只是冰山一角，還有很多我們未曾監(jiān)測到的，所以雷鋒網(wǎng)在這里還是要建議大家對郵件或其他渠道傳播的含有冠狀病毒感染解決方法或安全措施的文件保持警惕，不要隨意下載或打開文件名中帶有“武漢疫情”、“新型冠狀病毒”等熱點詞匯的 exe 、csr 等可執(zhí)行文件。

在技術(shù)上，實施可靠的網(wǎng)絡(luò)安全解決方案，例如防病毒解決方案；在電子郵件網(wǎng)關(guān)上實施過濾器，并在防火墻處阻止可疑 IP 地址。

在個人網(wǎng)絡(luò)衛(wèi)生習(xí)慣上，建議使用強密碼并且不啟用附件宏。

參考來源：

疑似臺灣綠斑黑客團伙的虛假“疫情統(tǒng)計表格”和“藥方”

那個借新型肺炎對我國發(fā)起攻擊的黑客組織叫印度“白象”

境外黑客揚言將攻擊我國視頻監(jiān)控系統(tǒng)，360物聯(lián)網(wǎng)安全支招如何”免疫”攻擊

拙劣至極！南亞APT組織借新冠疫情對我國醫(yī)療機構(gòu)發(fā)起定向攻擊！

注：文中圖片為爆料者提供

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。