冠狀病毒:行走的網際網路威脅制造機

零日情報局發表於2020-02-03

大家好,我是 零日情報局

本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju


真正讓我們恐懼的是恐懼本身。——羅斯福

截止至2月3日20時25分,始於武漢的新型肺炎,全球感染人數已累計超17335例,神祕的冠狀病毒成為全世界輿論關注的焦點。


冠狀病毒:行走的網際網路威脅制造機


而就在這場人類與生物病毒方興未艾的博弈中,新型冠狀病毒的毒火已燒到網路空間。


最近,日本等國相繼曝出“新冠”主題網路攻擊事件,木馬等惡意程式借民眾恐慌情緒肆虐網路。



生物病毒成網路病毒擴散機


提起Emotet,都知道這是一款廣泛傳播的惡意銀行木馬。而在嚴峻的疫情下,一向偏好假冒企業付款通知和發票的Emotet木馬,也開始變換策略趁火打劫。


冠狀病毒:行走的網際網路威脅制造機


本週,IBM和Kaspersky先後釋出報告,稱最近出現一系列以冠狀病毒為主題的釣魚郵件攻擊活動,日本岐阜縣、大阪市和鳥取縣等多個縣市相繼出現同類事件。


被發現的惡意檔案被偽裝成與冠狀病毒相關的pdf,mp4和docx檔案。這些電子郵件聲稱附件內有疾病相關預防感染的通知。頗具諷刺意味的是,這只是傳播另一種“病毒”的藉口,特別是臭名昭著的Emotet木馬。


從IBM安全專家的分析結果來看,多數惡意郵件均仿冒來自日本殘障福利服務提供商的資訊,並在郵件結尾處,提到了合法的郵政地址、電話和傳真號碼。電子郵件的主題還包含當前日期和日語單詞“ notification”(通知),以營造緊迫感。


根據IBM報告,這些電子郵件中每一封均包含一個附加的Word文件,該文件被描述為提供最新的健康資訊。


冠狀病毒:行走的網際網路威脅制造機

(針對日本受害者的電子郵件)


而一旦開啟檔案附件並啟用了Office365巨集,模糊的VBA巨集指令碼則將在後臺執行,然後安裝Powershell指令碼並下載Emotet 木馬。


以一份釣魚郵件樣本為例,郵件中網路犯罪分子宣稱在日本岐阜、大阪等地區發現冠狀病毒,以此來警告甚至是恐嚇收件人,誘導他們點開郵件附件,也就是上面提到的攜帶了Emotet木馬的文件。


令人擔憂的是,IBM稱傳播Emotet木馬的網路犯罪分子的真正目標,有可能是更靠近冠狀病毒源頭的中國地區,未來幾周甚至可能會將攻擊目標轉向日本以外的國家和地區。


大洋彼岸的美英兩國,近期也的確出現了利用冠狀病毒擴散的釣魚郵件。不難看出,冠狀病毒無形中已然成為Emotet木馬等惡意軟體擴散的新利器。



傳染病毒催生網際網路威脅


橫掃全球24國4大洲的生物病毒,蔓延至網路空間,成為了老牌木馬Emotet肆虐的加速器,而其對網路空間安全的影響卻更為複雜且多元。


冠狀病毒:行走的網際網路威脅制造機

(新型冠狀病毒確診病例圖)


扁鵲對蔡桓公說的那句“不治將恐深”,也許可以貼切地形容網路病毒借疫情事件擴散的核心。而深揪其背後深層因素,則可以大致從以下兩個方向來說。


恐慌疫情成網路攻擊突破口。無利不起早。網路犯罪分子緊抱冠狀病毒高危疫情大腿,無非是利用人們對高危疫情的恐慌心理,趁機借勢擴散網路病毒謀利。


此次威脅層級驟升的冠狀病毒疫情,給普通人帶來的恐慌情緒,可以說是近年來最嚴重的一次。對於那些從HIN1蹭到MERS疫情的黑客來說,更是借勢擴散網路病毒的絕佳時機。


冠狀病毒:行走的網際網路威脅制造機


網路攻擊將令疫情複雜化。正所謂三人成虎,當疫情成為網路攻擊的跳板,一方面助長了民眾的恐慌情緒,另一方面則無形中阻礙了疫情防控。

就像一些安全團隊強調的那樣,在當前全國乃至全球緊盯疫情發展趨勢的大環境下,假借冠狀病毒名頭,發起的網路攻擊不僅難防,更恐將危及疫情防控工作的有序進行。


畢竟網路犯罪分子中,不僅有謀利的黑客組織,還有出於政治目的的APT。如果開啟的釣魚攻擊,不是出自一般性黑客組織,而是精準打擊的APT,其後果不堪設想。



零日反思


經濟“大蕭條”時期,引領美國走出陰霾的羅斯福曾坦言“真正讓我們感到恐懼的,只是‘恐懼’本身。”


疫情當前,網路空間伺機而動的黑手,正是利用人們的恐懼趁勢作亂,這就要我們不僅得有網路安全防護方案,更要提高防範意識。


零日情報局作品

微信公眾號:lingriqingbaoju

如需轉載,請後臺留言

歡迎分享朋友圈


參考資料:
BankinfoSecurity 《假冠狀病毒資訊傳播情感感染》

冠狀病毒:行走的網際網路威脅制造機





相關文章