警惕黑客利用“新冠肺炎”熱詞發起網路攻擊
1 威脅概況
最近,利用冠狀病毒爆發事件展開的攻擊活動頻出,攻擊方式多樣,針對國內和國外的攻擊方式各有不同,均利用新型冠狀病毒肺炎疫情相關熱詞開展攻擊行動。國外的病毒主要是通過網路郵件的形式傳播,國內的病毒通過相關的社交渠道傳播帶有“冠狀病毒”、“疫情防控”、“肺炎防控通知”等熱門字樣的可執行程式。
2.國內威脅情況介
2.1 遠端控制,竊取檔案
該型別的病毒帶有“冠狀病毒”的熱門字樣,啟動後會釋放正規商業軟體TeamViewer,由此躲避大多數殺軟的查殺。通過獲取視窗的賬號和口令傳送到黑客的遠端伺服器,從而達到遠端控制的目的。
IOC:
952c4b1a092418e81a74284815cbba3e
C2:
103.113.95.101:80
http://9.wqkwc.cn/
2.2 惡意攻擊,破壞電腦
該型別的病毒會刪除所有登錄檔,以及C、D盤檔案的功能。導致電腦無法開機,重要資料丟失。
IOC:
674805b536e872a7b6412711699ee44f
2.3 黑產團隊的遠控木馬
該型別的病毒在一些貼吧,論壇利用冠狀病毒”、“逃離武漢”、“雙重預防機制”、“新型冠狀病毒預防通知”等誘餌詞彙,誘導電腦使用者下載並將其開啟。病毒可對目標機器進行遠端控制
IOC:
a30391c51e0f2e57aa38bbe079c64e26
757a45285e6cf890e091b3c705ffff0b
C2:
202.58.105.80:5073
2.4 南亞APT組織對醫療機構的定向攻擊
南亞CNC APT組織近日以郵件為投遞方式進行攻擊,誘導使用者執行巨集,下載後門檔案並執行。部分誘餌文件名如下:新型冠狀病毒感染引起的肺炎的診斷和預防措施.xlsm、武漢旅行資訊收集申請表.xlsm、收集健康準備資訊的申請表.xlsm、申請表格.xlsm。
攻擊者在文件中附帶了額外的資料,啟用巨集後會使用Key: nhc_gover去解密資料,訪問hxxp://45.xxx.xxx.xx/window.sct,使用scrobj.dll遠端執行該Sct檔案,該檔案會再次訪問下載hxxp://45.xxx.xxx.xx/window.jpeg,並將其重新命名為temp.exe存放於使用者啟動資料夾下,實現自啟動駐留。該後門程式與已知的南亞組織後門cnc_client相似,通過分析,其通訊格式功能有顯著的cnc_client後門特徵。
3.國外威脅情況介
3.1 KnowBe4發現的冠狀病毒網路釣魚攻擊
1月31號,安全意識培訓機構KnowBe4的研究人員發現了一封利用民眾對新型冠狀病毒的恐懼心理進行的網路釣魚行動。攻擊者試圖將其垃圾郵件偽裝成CDC Health Alert Network分發的官方警報訊息,宣稱可以提供周圍區域的感染者列表,以此誘騙潛在的受害者點選郵件中嵌入的連結並進入釣魚頁面。
釣魚郵件利用社會工程學的手段獲取了收件人的相關姓名,並告知目標疾病預防控制中心已經建立了事件管理系統,用於協調國內外的公共衛生對策。然後,攻擊者提供了一個可以檢視其城市周圍新感染病例的更新列表的連結。將連結被偽裝為CDC官方網站的連結,用於將受害者重定向到攻擊者控制並以Outlook為主題的網路釣魚登入頁面,該頁面用於收集和竊取使用者憑據。該釣魚郵件的模板如下:
3.2 Mimecast發現的網路釣魚攻擊
針對郵件安全的Mimecast公司近期也發現了一起利用武漢冠狀病毒事件進行傳播的網路釣魚行動。該釣魚活動主要是針對美國和英國。攻擊者宣稱郵件附帶的PDF檔案有應對冠狀病毒傳播的安全措施,並強調這些安全措施性的重要性促使攻擊目標下載該惡意PDF檔案來感染計算機。該釣魚郵件的模板如下:
3.3 Emotet病毒的新傳播手法
Emotet是一種通過郵件傳播的銀行木馬,誘騙使用者點選執行惡意程式碼,最早被發現於2014年並持續活動至今,在國內也有一定的影響面。IBM X-Force在近期發現了日本有利用冠狀病毒資訊進行傳播的網路釣魚郵件。攻擊者偽裝日本公共衛生中心福利社向攻擊目標發出了一封關於冠狀病毒預防措施的通知。攻擊者同時在頁尾附上了合法的聯絡方式和地址以增加真實性。同時宣稱在這些電子郵件的附件中提供了有關如何預防冠狀病毒的詳細措施。釣魚郵件模板如下:
附件文件中要求受害者啟用巨集檢視完整文件,啟動巨集的情況下開啟附件,經過混淆的VBA巨集指令碼會開啟powershell並在後臺安裝Emotet下載器。攻擊路徑圖如下:
IOC:
8C809B4AC6D95CE85A0F04CD04B7A7EA
586FB4A6FFDFEB423F1F1782AAA9BB9F
8800EBD065B52468FA778B4527437F5A
379959D80D0BFC45AAB6437474D1F727
C2:
http://109.236.109.159:8080/vnx8v
http://85.96.49.152/6oU9ipBIjTSU1
http://186.10.98.177/faHtH2y
Emotet惡意軟體網址:
http://erasmus-plius.tomasjs.com/wp-admin/KfesPCcG/
http://easytogets.com/xfxvqq/UXbKAbm/
http://drhuzaifa.com/wp-includes/2i48k7-evv28gw-205510/
http://dewarejeki.info/wp-includes/up58jauc-pum2w-630352/
http://dewakartu.info/wp-includes/BRVMFYvIR/
4 解決方案
近期的黑客們利用公眾高度關注、渴求獲得新型冠狀病毒相關資訊的心理進行攻擊活動。為了使用者的安全,江民赤豹網路安全實驗室建議:
1、 主機上安裝防病毒軟體並保持病毒庫的最新更新狀態;
2、 收到關於冠狀病毒主題的郵件時,不要輕易開啟附件檔案和連結;
3、 不要輕易在網際網路上下載開啟帶有“武漢肺炎疫情”,“新型冠狀病毒”等相關名稱,字尾為exe,scr的可執行檔案;
4、 不要輕易開啟未知來源的docx、rtf、doc、xls、xlsx等文件。
相關文章
- 黑客正在利用多個 WordPress 外掛的 0day 漏洞對網站發起攻擊黑客網站
- GoogleTalk被黑客利用發動釣魚攻擊Go黑客
- 專家:黑客能繼續利用美國政府工具包網路攻擊黑客
- 警惕黑客重視網路安全黑客
- 解析利用BitTorrent發起DDoS放大攻擊的原理
- “趁疫打劫”?警惕黑客利用新型冠狀病毒蹭熱點!黑客
- 綠盟威脅情報中心報告:疫情期間境外黑客發起對我國網路攻擊案例黑客
- 網路攻擊
- 香港首個抗衡黑客攻擊的網路靶場曝光黑客
- 駭客動態播報 | 警惕!這種新型勒索攻擊正在興起!
- 俄羅斯支援的DNC黑客組織對華盛頓智庫發起攻擊黑客
- 【黑客追擊】境外黑客組織提前行動,瞄準我國公司實施網路攻擊黑客
- 黑客利用Windows BlueKeep挖礦,RDP攻擊再次來襲黑客Windows
- 安全漏洞在網路攻擊中影響多大?勒索組織趁漏洞修補時機發起攻擊
- 網路攻擊手段
- 為了避免網路攻擊,公司需要像黑客一樣思考黑客
- 網路熱詞記錄
- 攻擊面管理預防網路攻擊原理?
- 利用網路分段和訪問控制來抵禦攻擊
- 警惕!VoIP DDoS 攻擊呈上升趨勢,Cloudflare 保護您的網路安全!Cloud
- 黑客攻擊滲透測試的社會工程學利用黑客
- 黑客攻防應用:利用密碼檔案檢測攻擊黑客密碼
- 黑客通過VPN攻擊知名防毒工具,破壞內部網路黑客防毒
- 谷歌揭露兩個朝鮮黑客組織的網路攻擊活動谷歌黑客
- 小心黑客使用物聯網來攻擊黑客
- 警惕黑客三八節攻勢女性時尚網站頻遭掛馬黑客網站
- 網路攻擊泛談
- 降低網路攻擊風險
- 網路釣魚攻擊
- 什麼是網路攻擊?常見的網路攻擊手段有哪些?
- 韓稱高官手機被朝黑客入侵鐵路機關遭網路攻擊黑客
- 冰島史上最大網路攻擊行動:黑客冒充警方欺詐民眾黑客
- 資料顯示社交網站成黑客發動攻擊重要渠道網站黑客
- 密碼過長也不安全 易被駭客利用發起DoS攻擊密碼
- Chrome釋出重要安全更新,將抵禦量子計算機發起的黑客攻擊Chrome計算機黑客
- 卡巴斯基警告世界經濟論壇會議參與者警惕網路攻擊
- 泰國一監獄閉路系統遭黑客攻擊被放上網路進行直播黑客
- 如果黑客攻擊了醫院黑客