年初一場突發的疫情，將辦公族們的辦公場地從公司變為家中，平日面對面的工作交流也都變成了線上溝通。在此期間，雲辦公、雲流程實力出圈，強大的遠端協作體驗受到了廣大使用者的極力追捧。然而“樹大招風”，隨著雲辦公的使用熱度日益高漲，駭客組織也皆聞風而來，企圖從中大撈一把。

近期，360安全大腦就藉助全網資訊，感知到有著大量使用者的雲辦公軟體明道雲，官網下載連結慘遭劫持。當使用者點選官方網站的下載連結後，下載的卻是經過偽裝的木馬安裝包。經360安全大腦結合使用者被攻擊資訊分析，初步判定這一狸貓換太子的把戲，源於明道雲部分下載伺服器失陷。

針對此次事件，360安全大腦第一時間通知明道雲，目前，明道雲官網和軟體已恢復安全，可正常下載使用。此外，360安全大腦已獨家攔截該木馬攻擊，廣大使用者也可儘快下載安裝360安全衛士，保護個人資料及財產安全。

供應鏈攻擊藏“毒”軟體源頭

利用信任輕鬆獲取大量使用者資料

隨著網路安全防護技術的完善，駭客團伙想利用傳統攻擊手段非法獲利，可謂愈發艱難。而針對供應鏈發起的網路攻擊，則透過利用使用者對於正版軟體供應商的信任，讓成功率實現幾何式增長；另外，只要駭客成功攻陷一家軟體供應商，就可以直接獲取大量使用者資料，尤其當這些使用者是以企業為單位時，足以讓其“要不不開張，開張吃一年”。

經在全網海量歷史資料中進行溯源追查後，360安全大腦發現該駭客團伙至少從2019年5月起就已經開始作案，主要採取投放釣魚木馬和直接滲透攻擊，並竊取了某些公司的數字證書，導致後續散播的木馬程式具有了正規公司的數字簽名。

在360安全大腦捕獲到該例供應鏈攻擊後，發現其木馬具有正常公司的數字簽名，乍一看還會誤認為其“出身清白”。而事實是駭客團伙重打包了明道雲2.0.3版本的安裝包，並打上了簽名“西安星空互動軟體開發有限公司”。

接著雙擊執行木馬安裝包，360安全大腦還發現安裝目錄多出一個同樣非明道雲官方簽名的hid.dll模組（如下圖所示），除此之外的明道雲檔案全部正常，排查後發現這是針對明道雲主程式MingDaoClould.exe的DLL劫持。而簽名處無奈背鍋的“西安星空互動軟體開發有限公司” 所屬一家制作遊戲加速器的公司，很可能是駭客團伙盜用的數字證書，實與明道雲毫無關係。

360安全大腦還對DLL檔案進行了分析，發現其功能主要是判斷使用者的.Net版本之後釋放一個BAT指令碼檔案（如下圖所示），這個指令碼首先用C#編譯器編譯生成一個木馬下載器，然後將下載連結以引數的方式傳遞給下載去執行，最後清理現場。

從木馬生成的批處理指令碼可以看到它聯網獲取了一個名為logo.png的圖片，然而實際上這是一個可執行程式。

該程式會聯網獲取一個尾部攜帶shellcode的圖片，然後查詢桌面程式（“explorer.exe”）並注入執行shellcode，其具體功能就是建立一個連線到駭客團伙的後門通道，等待接收控制指令。

新型攻擊手法層出不窮

雲辦公安全或將迎來升級挑戰

本著對於木馬病毒的零容忍態度，360安全大腦不能坐視這種破壞正常軟體信任的事件發生。根據已有的資訊在海量歷史資料中進行溯源檢索顯示，該團伙至少從2019年5月份起就已經開始透過滲透、釣魚等手法接連作案。

2019年5月23日，某企業員工遭到釣魚攻擊，接收了名為“簡歷.exe”的檔案後表現出受害者特徵。

該釣魚檔案的圖示偽裝成系統資料夾的樣式，很容易迷惑普通使用者導致中招，實際上它是一個木馬下載器。（如下圖所示）

2019年9月7日，某使用者電腦遭到滲透攻擊，後續駭客團伙手工投放木馬下載器“formdl.exe”進行後續攻擊，該木馬會在記憶體解密執行聯網獲取的shellcode進行後續攻擊。相關程式碼大致如下圖所示。

在後續攻擊中還發現了具備正常簽名的木馬程式，這說明駭客團伙不是第一次盜用他人公司的正版數字證書了，除了“西安星空互動軟體開發有限公司”還盜用“Xiamen Tongbu Networks Ltd.”來簽發惡意程式，損害數字簽名可信度。

2019年9月16日，某遊戲行業人員遭到釣魚攻擊，收到了釣魚檔案“201909.exe”，行為與上文“簡歷.exe”類似。

2019年12月16日，某金融行業人員的電腦上，木馬檔案隨系統服務開機啟動。

2019年12月18日，某房地產相關人員，遭受釣魚攻擊。

2020年3月27日，明道雲某客服的電腦中招。

2020年4月10日，明道雲某使用者遭遇針對性釣魚攻擊，使用者啟動了釣魚檔案之後，駭客會查詢明道雲的安裝目錄並釋放檔案“version.dll”到其根目錄下。

檔案“version.dll”會對明道雲的主程式形成DLL劫持，每當使用者啟動明道雲的時候就會隨之載入執行，它的具體功能是和前文的“hid.dll”一樣最終注入桌面留下後門。

2020年4月27-28日，明道雲官網下載連結被劫持，多例使用者電腦被感染。

與明道雲官方溝通後，360安全大腦認為，2020年發生的這三起攻擊並沒有發現直接聯絡。

從追蹤溯源得到的資訊不難看出，這個駭客團伙一開始並沒有什麼具體的目標，受害者涉及各行各業，各個受害者之間明顯都沒什麼關係，但是此次針對明道雲的攻擊持續了一個多月，與之前打一槍換一個地方的風格相比發生了很大的變化。

對此，360安全大腦在整合後進行了關聯與分析，發現這與明道雲的獨特屬性關係密切。

1、高效能伺服器能獲得“高回報“

明道雲的服務物件主要是企業使用者，而企業的高效能伺服器對於駭客團伙來說一直都很有吸引力。

2、藏毒開發源頭實現火速蔓延

其次則是明道雲的軟體特點，明道雲作為一個生產力工具，普通業務人員就能進行開發，門檻低，開發數量多，帶著病毒的新模組快速形成二次擴散攻擊。

基於以上兩點，不難看出駭客團伙認為明道雲完全值得他們花費更多的時間和精力去攻擊並挖掘潛在價值。

由此可見，隨著各類雲辦公軟體逐漸成為辦公族們的工作首選，隨之而來的網路安全問題也將如同雨後春筍般，油然而生。但360安全大腦透過多種技術手段防禦和發現最新木馬病毒，且已率先實現對該類木馬的查殺，為避免此類攻擊的感染態勢進一步擴大，360安全大腦建議：

1、及時前往360官網下載安裝360安全衛士，可有效攔截查殺各類木馬病毒；

2、對於安全軟體提示風險的程式，切勿輕易新增信任或退出殺軟執行；

3、使用360軟體管家下載軟體，360軟體管家收錄萬款正版軟體，經過360安全大腦白名單檢測，下載、安裝、升級，更安全。