2020实在是太难了。

开年之初，新冠肺炎以迅雷不及掩耳之势迅速攻击了全人类，截止目前，确诊病例35982例，累计治愈出院病例3281例，累计死亡病例908例，而这些数字还在以不可知的速度上涨着，疫情的拐点也暂未出现。

更糟心的是，最近，编辑发现黑客团伙居然趁火打劫，借疫情攻入了我国的医疗系统、政府机构，实在可恨。今天就一起来看看这些“黑心”的团伙。

一、疑似中国台湾绿斑黑客团伙

据微步在线爆料，从1月下旬开始，微步在线就监测发现了多个可疑文件。这些可疑文件有的是政府工作表格-“基层党组织和党员防控疫情重大事项日报表”，而且和防疫有关，有的还是中医药相关的知识，而这些看起来没有任何问题的表格，实际上是黑客们设的陷阱。

他们伪造了一个假的QQ邮箱，而这个邮箱地址是假的，页面是假的，所谓的安全验证也是假的，黑客只想要你的账号和密码——一旦你填写了你的账号和密码，黑客在屏幕的另一端马上就能收到。

更为可怕的是，这三个文件中没有夹带木马病毒，杀毒软件也不会发现，这意味着普通的杀毒软件是无法排查的，一旦你不小心点击，那么你的信息就会完全暴露在黑客面前，而黑客们攻击的目标还是政府部门，安全风险将会更大。

微步在线根据长期跟踪境外黑客团伙的经验，初步判断这伙黑客的手法与我国台湾地区某个具有政治背景的黑客团伙“绿斑”高度一致，建议相关各单位引起重视，并进行对邮箱等个人账号的严格排查，增强网络安全意识，保护好账号密码，必要时通过第三方认证登录。

二、印度APT黑客组织

2月4日，360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例，攻击者利用肺炎疫情相关题材作为诱饵文档，对抗击疫情的医疗工作领域发动APT攻击。

该攻击组织采用鱼叉式钓鱼攻击方式，通过邮件进行投递，利用当前肺炎疫情等相关题材作为诱饵文档，部分相关诱饵文档如：武汉旅行信息收集申请表.xlsm，进而通过相关提示诱导受害者执行宏命令。

宏代码如下：

攻击者将关键数据存在worksheet里，worksheet被加密，宏代码里面使用key去解密然后取数据。然而，其用于解密数据的Key为：nhc_gover，而nhc正是国家卫生健康委员会的英文缩写。

一旦宏命令被执行，攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct，并使用scrobj.dll远程执行Sct文件。

攻击者利用新冠肺炎疫情相关题材作为诱饵文档，进行鱼叉式攻击时，医疗机构、医疗工作领域成为此次攻击的最大受害者。

一旦其“攻击阴谋”得逞，轻则丢失数据、引发计算机故障，重则影响各地疫情防控工作的有序推进，危及个人乃至企业政府等各机构的网路安全。尤其面对这等有着国家级背景的APT组织的攻击，后果简直不堪设想。

据悉，此次攻击所使用的后门程序与之前360安全大脑在南亚地区APT活动总结中已披露的已知的印度组织专属后门cnc_client相似，通过进一步对二进制代码进行对比分析，其通讯格式功能等与cnc_client后门完全一致。可以确定，攻击者来源于印度的APT组织。

对此，专家建议：

1、及时升级操作系统以及应用软件，打全补丁，尤其是MS17-010、CVE-2019-0708等高危漏洞的补丁。由于Windows7操作系统已经停止推送更新补丁，建议有条件的更新到Windows10操作系统。

2、及时更新已部署的终端、边界防护产品规则。

3、尽量减少各种外部服务的暴露面（如RDP，VNC等远程服要设置白名单访问策略，设置足够强壮的登陆密码，避免黑客利用远程服务攻入。

4、增强人员的网络安全意识，不打开不明邮件，邮件中的不明链接、附件等。

5、常用办公软件应保持严格的安全策略，如禁止运行Office宏等。

三、其他利用“新冠肺炎”的网络钓鱼攻击

在美国，黑客冒充疾病预防控制中心和病毒专家，针对个人进行网络钓鱼攻击。

网络钓鱼模拟和安全意识培训机构KnowBe4的研究人员发现了这些网络钓鱼活动，攻击者号称会提供周围区域的感染列表，以此诱骗潜在的受害者点击邮件中嵌入的链接并进入钓鱼页面。

在KnowBe4发现的网络钓鱼电子邮件样本中，攻击者尝试将其垃圾邮件伪装成由CDC（疾病预防控制中心）的HealthAlertNetwork（健康警报网络）分发的官方警报。然后，告知攻击目标——疾病预防控制中心已经建立了事件管理系统，以协调国内外公共卫生对策。然后，攻击者以链接的形式诱使他们接收其城市周围新感染病例的更新列表。而结果是，攻击者通过钓鱼页面收集并窃取了用户凭证。

安全公司Mimecast也发现了另一起利用新型冠状病毒诱饵的网络钓鱼活动，这次是针对美国和英国人。在这一系列的网络钓鱼电子邮件中，则要求收件人“仔细阅读所附文件中有关冠状病毒传播的安全措施”，并强调这些安全措施的重要性促使攻击目标下载恶意PDF，而该PDF中的恶意软件有效载荷将感染其计算机。

以上提到的网络安全攻击或许只是冰山一角，还有很多我们未曾监测到的，所以雷锋网(公众号：雷锋网)在这里还是要建议大家对邮件或其他渠道传播的含有冠状病毒感染解决方法或安全措施的文件保持警惕，不要随意下载或打开文件名中带有“武汉疫情”、“新型冠状病毒”等热点词汇的exe、csr等可执行文件。

在技术上，实施可靠的网络安全解决方案，例如防病毒解决方案；在电子邮件网关上实施过滤器，并在防火墙处阻止可疑IP地址。

在个人网络卫生习惯上，建议使用强密码并且不启用附件宏。

- THE END -

#网络安全

原文链接：雷锋网责任编辑：小淳