自新冠疫情發生以來,不法分子屢屢利用疫情話題發起駭客攻擊。2020年年初受疫情和春節假期影響,安全事件報送數量大幅減少,但節後木馬攻擊逐步增加。綠盟科技不久前釋出的《2020年度安全事件響應觀察報告》對這一趨勢進行了研究披露。本文主要內容是以綠盟科技應急響應團隊在對疫情期間網路威脅行為的跟蹤與分析後得出的相關結論,以期提高使用者對該類木馬的攻擊警惕性,共同守護網路空間的清朗可信。
結論一:木馬利用疫情進行釣魚攻擊
新冠疫情往往被攻擊者利用進行釣魚攻擊。2020年2月和3月期間,海蓮花、蔓靈花等組織均採用“魚叉攻擊”、“水坑攻擊”等手法,利用“武漢疫情”等主題,對醫療行業及相關人員發起定向攻擊,對疫情防控相關工作造成一定影響。
2020年年初,綠盟科技應急響應團隊收到某客戶遭受釣魚攻擊的反饋,在對客戶郵件內容進行分析提取之後,獲取到了檔名為《武漢旅行資訊收集申請表》,副檔名為xlsm的釣魚文件。
疫情相關釣魚樣本截圖
此外,FormBook木馬還利用新冠疫情發動魚叉郵件攻擊。綠盟科技應急響應團隊去年年初捕獲了一起FormBook木馬利用新冠疫情發起的攻擊事件。該起攻擊事件中,攻擊者將疫情資訊融入魚叉郵件誘餌中,設計了欺騙度極高的社工內容,藉此攻擊使用者。實際上,遭受攻擊的不只國內使用者,國外使用者也經常受到該類木馬的攻擊。
FormBook木馬郵件截圖
結論二:醫療行業成為重點攻擊目標
近幾年來,針對醫療行業的攻擊持續增加。2020年,受新冠疫情影響,醫療行業更是成為各類木馬的重點攻擊物件。據綠盟科技2020年處理的醫療行業安全事件統計分析顯示,獲取經濟利益仍然是駭客攻擊醫療機構的主要目的,其中利用勒索軟體的攻擊方式佔據絕對比重。
醫療行業發生安全事件型別統計
部分駭客及APT組織藉助疫情期間熱點事件,以傳播木馬病毒為主要手段開展攻擊,如利用新冠疫情題材的檔案誘使目標醫療機構的相關人員執行木馬程式,最終達到控制系統、竊取敏感資料等目的。
此外,由於醫療資料價值高,駭客受利益驅使,往往會重點攻擊醫療機構資訊系統,如HIS、PACS、LIS、RIS等醫院資訊系統。醫院資訊系統承擔了醫院及其所屬各部門的人流、物流等綜合管理工作,這些資料極為重要,一旦被病毒加密勒索,將會造成重大損失。
結論三:攻擊者聚焦遠端辦公軟體
去年年初,受新冠疫情影響,多地宣佈延遲復工時間,全民抗“疫”時期,遠端辦公模式成為主流。遠端辦公在帶來便捷的同時,也伴隨著不小的安全風險,如辦公裝置不同、網路環境各異,安全風險不容小覷。因此,Gartner 2020年十大安全專案中加入了Securing Your Remote Workforce,即遠端辦公安全專案 。
與遠端辦公密切相關的系統和應用包括OA、遠端接入、視訊會議和即時通訊等,近年來這些遠端系統多次被國家資訊保安漏洞共享平臺(CNVD)披露高危漏洞資訊。其中有關OA系統披露的高危漏洞數量增長趨勢明顯,這可能跟遠端辦公後,相關係統的安全性愈發被人們關注有直接關係。另外,綠盟科技IRT在處理視訊會議伺服器遭受攻擊的事件時還發現,攻擊者沒有進行漏洞測試和掃描,而是直接進行了漏洞利用,因此攻擊者很有可能已掌握了該影片系統的漏洞。