利用新冠病毒的网络攻击爆发！典型案例及防范建议已奉上

编者按

4月8日，美国国土安全部（DHS）网络安全和基础设施安全局（CISA）和英国国家网络安全中心（NCSC）联合发布警报，警示当前有关网络犯罪和高级持续威胁（APT）组织利用新冠病毒全球大流行的信息进行网络攻击的严峻态势。该警报概述了与新冠病毒相关的恶意网络活动，并提供了个人和组织可以遵循的实用建议，以降低受到影响的风险。这些攻击活动中最常见的是网络钓鱼诈骗。恶意攻击者假装来自一个信誉良好的组织，如政府或受害者的银行，向受害者发送电子邮件或短信。邮件或消息中通常会声明需要验证受害者的账户，或需要通过提供的链接提供其他信息。然后可以使用这些信息登录到有问题的账户。同时，新型恶意软件也使用新冠病毒为主题的诱饵将自己传播出去。通过在受害者的电脑上安装恶意软件，网络罪犯可以监控用户的活动并从信用卡和银行等敏感网站窃取登录数据。恶意软件经常会伪装成在社交媒体上分享的电子邮件或文件中的附件。

4月8日，美国国土安全部（DHS）网络安全和基础设施安全局（CISA）和英国国家网络安全中心（NCSC）联合发布警报，通告了有关网络犯罪和高级持续威胁（APT）组织利用当前新冠病毒全球大流行的信息。该警报概述了与新冠病毒相关的恶意网络活动，并提供了个人和组织可以遵循的实用建议，以降低受到影响的风险。

在接下来的几周甚至几个月里，APT组织和网络犯罪分子都可能继续利用新冠病毒大流行。威胁包括：

• 以新冠病毒为诱饵的网络钓鱼；
• 使用新冠病毒主题诱饵进行恶意软件分发；
• 注册包含与新冠病毒相关的字词的新域名； 

• 针对新近（通常是快速）部署的远程访问和远程办公基础设施的攻击。

恶意的网络攻击者依靠基本的社会工程方法来诱使用户执行特定的操作。这些攻击者利用人类的好奇心和对冠状病毒大流行的关注等特点，以说服潜在的受害者：

• 点击链接或下载可能导致钓鱼网站或下载恶意软件（包括勒索软件）在内的应用程序。例如，一个恶意的Android应用程序意图提供实时的冠状病毒爆发跟踪器，但却试图欺骗用户提供管理访问权限，以便在其设备上安装“ CovidLock”勒索软件；

• 打开包含恶意软件的文件（例如电子邮件附件）。例如，电子邮件主题行包含与新冠病毒相关的短语，例如“冠状病毒更新”或“ 2019-nCov：您所在城市的冠状病毒爆发（紧急情况）”。

为了营造真实感，攻击者可能会在电子邮件中欺骗发件人信息，使其看起来来自可信赖的来源，例如世界卫生组织（WHO）或标题中有“医生”的个人。在几个示例中，攻击者发送的网络钓鱼邮件，其中包含一个虚假的电子邮件登录页面链接。其他电子邮件声称来自组织的人力资源(HR)部门，并建议员工打开附件。

包含恶意软件有效载荷的恶意文件附件可能使用与新冠病毒相关的主题来命名，例如“总统通过Cabinet.rtf讨论了由于冠状病毒而节省的预算。”

在过去的几个月中，研究人员发现了一些利用新冠病毒进行网络恶意活动的案例。

政府救济金诈骗

随着政府代表开始制定法律，为那些因新冠病毒失业或受到经济影响的人提供救济资金，犯罪分子加大了网络钓鱼手段，这些手段看起来像政府对这些资金的信件，以欺骗人们放弃其资格。根据Proofpoint4月1日发布的研究，此类骗局针对的是美国、英国、澳大利亚等地的公民。

论坛水坑攻击

3月，趋势科技的研究人员发现了一个水坑攻击，该目标针对香港的iOS用户，使用有毒的本地新闻链接执行恶意的移动恶意软件。这些链接是合法的新闻资源，通过具有合法外观的关于本地开发的帖子被散布在众多在线论坛上，但是这些链接本身包含隐藏的iframe，以加载和执行某些iOS版本中针对漏洞的恶意代码。攻击导致将名为LightSpy的恶意软件变体加载到受害者的设备上。

恶意感染地图

攻击者利用公众对约翰·霍普金斯等机构最新发布的感染地图的兴趣，为恶意活动制造诱饵。MalwareBytes研究人员表示，像水坑运动一样，这些活动不必依赖电子邮件运动。相反，攻击者利用隐藏在看起来合法的感染地图背后的AzorUlt infostealer恶意软件来建立恶意网站。根据KrebsOnSecurity的说法，许多恶意软件使用者正在增加使用一个售价700美元的基于Java的恶意软件工具包，该工具包以约翰·霍普金斯地图为诱饵。

冒充官方卫生组织

精明的犯罪分子一直特别关注利用疾病控制中心（CDC）和世界卫生组织（WHO）等官方组织的合法性，设计了一系列不同的网络钓鱼诱饵。早在2月份，Sophos的研究人员就报告了伪造的咨询电子邮件，这些电子邮件利用情况的紧迫性诱骗用户泄露凭证信息。

新冠病毒检测试剂盒诈骗

犯罪分子利用人们对新冠病毒检测的浓厚兴趣，围绕测试试剂盒进行各种诈骗。据美国联邦通信委员会（FCC）称，这些服务不仅涉及电子邮件，而且还涉及自动语音电话，美国商业改善局（BBB）称，还涉及短信诈骗。根据FCC的说法，它还遇到了与冠状病毒相关的其他一系列自动语音电话骗局诱饵，包括在家工作的机会、学生还款计划、债务整合。其中一些不仅针对消费者，而且还针对小型企业。

口罩和医疗用品

与检测试剂盒类似，口罩和其他短缺的医疗用品也被用作网络钓鱼和老式欺诈最爱的诱饵。3月初，Bitdefender的研究人员浏览了一系列新网站，这些网站都承诺在口罩和其他耗材上提供大幅折扣。这些网站许多还承诺提供限时优惠，并要求以比特币付款，以与受害者建立更加牢固的联系。

冠状病毒跟踪应用勒索软件

3月中旬，DomainTools的研究人员发现，攻击者正在创建伪造的新冠病毒跟踪应用程序，这些应用程序包含勒索软件。他们发现这个名为CovidLock应用，通过对Android手机使用屏幕锁定攻击来实现，该攻击强制用户更改控制设备屏幕锁定功能的密码。

DNS劫持到钓鱼站点

3月底，Bitdefender的研究人员表示，他们发现了针对DNS劫持的针对性攻击，这种攻击是针对大量家庭办公新员工依赖于连接的家庭路由器的。攻击将用户重定向到以冠状病毒为主题的网页，这些网页装有伪装成新冠病毒信息应用程序的恶意信息窃取程序有效负载。

◆ ◆ ◆ ◆

缓解措施

◆ ◆ ◆ ◆

恶意网络攻击者正在不断调整其策略以利用新情况，并且新冠病毒大流行也不例外。恶意的网络攻击者正在大肆宣传与新冠病毒相关的信息，以此作为传播恶意软件和勒索软件以及窃取用户凭据的机会。个人和组织应保持警惕。

针对个人的网络钓鱼指南

NCSC的可疑电子邮件指南阐释了如果已点击了潜在的恶意电子邮件、附件、链接该怎么做，并提供了有关在账户或设备受到威胁时与谁联系的建议，以及可以采取的一些缓解措施，如更改密码。同时还提供了NCSC发现网络钓鱼电子邮件的主要技巧：

• 权威性。发件人是否声称是来自官方（例如银行、医生、律师、政府机构）？犯罪分子常常假装是重要人物或组织，诱骗受害者去做他们想要的事情；
• 紧急度。您是否被告知回复时间有限（例如在24小时内或立即）？犯罪分子经常以罚款或其他负面后果威胁您；
• 情绪化。信息是否会让您感到恐慌、恐惧、希望、好奇？犯罪分子经常使用威胁性的语言、谎称需要支持、或试图诱使你想要了解更多信息；

• 稀缺性。消息是否提供了一些短缺的东西（例如音乐会门票、金钱、治疗疾病的方法）？害怕错过很多交易或机会会使您迅速做出反应。

针对组织和网络安全专业人员

的网络钓鱼指南

组织对网络钓鱼的防御通常仅取决于用户能够发现网络钓鱼电子邮件。但是，扩大防御范围以包括更多技术措施的组织可以提高抵御网络钓鱼攻击的能力。

除了教育用户防御这些攻击之外，组织还应考虑NCSC的指南，该指南将缓解措施分为四个层次，在这些层次上可以建立防御：

• 使攻击者难以到达您的用户；
• 帮助用户识别和报告可疑的网络钓鱼电子邮件；
• 保护您的组织免受未检测到的网络钓鱼电子邮件的影响；

• 快速响应事件。

CISA和NCSC还建议组织计划让一定比例的网络钓鱼攻击获得成功。对这些事件进行有效应对将有助于最大程度地减少造成的损害。

面向个人和组织的通信

平台指南

由于新冠病毒的影响，越来越多的个人和组织转向通信平台(如zoom和微软团队)参加在线会议。反过来，恶意网络攻击者正在劫持没有密码保护或使用未修补软件的在线会议。

防范在线会议劫持的建议：

• 不要公开会议。相反，需要输入会议密码或使用等候室功能并控制客人的入场；
• 不要在不受限制的公开社交媒体帖子上共享会议链接，直接提供指向特定人员的链接；
• 管理屏幕共享选项。将屏幕共享更改为“仅限主机”；
• 确保用户使用的是远程访问/会议应用程序的更新版本；

• 确保远程办公策略满足物理和信息安全要求。

天地和兴工控安全研究院编译

参考资源 

1、https://www./ncas/alerts/aa20-099a

2、https://www./attacks-breaches/8-phishing-lures-preying-on-pandemic-panic/d/d-id/1337495