1 威胁概况

最近，利用冠状病毒爆发事件展开的攻击活动频出，攻击方式多样，针对国内和国外的攻击方式各有不同，均利用新型冠状病毒肺炎疫情相关热词开展攻击行动。国外的病毒主要是通过网络邮件的形式传播，国内的病毒通过相关的社交渠道传播带有“冠状病毒”、“疫情防控”、“肺炎防控通知”等热门字样的可执行程序。

2.国内威胁情况介

2.1 远程控制，窃取文件

该类型的病毒带有“冠状病毒”的热门字样，启动后会释放正规商业软件TeamViewer，由此躲避大多数杀软的查杀。通过获取窗口的账号和口令发送到黑客的远程服务器，从而达到远程控制的目的。

IOC:

952c4b1a092418e81a74284815cbba3e

C2:

103.113.95.101:80

http://9.wqkwc.cn/

2.2 恶意攻击，破坏电脑

该类型的病毒会删除所有注册表，以及C、D盘文件的功能。导致电脑无法开机，重要数据丢失。

IOC:

674805b536e872a7b6412711699ee44f

2.3 黑产团队的远控木马

该类型的病毒在一些贴吧，论坛利用冠状病毒”、“逃离武汉”、“双重预防机制”、“新型冠状病毒预防通知”等诱饵词汇，诱导电脑用户下载并将其打开。病毒可对目标机器进行远程控制

IOC:

a30391c51e0f2e57aa38bbe079c64e26

757a45285e6cf890e091b3c705ffff0b

C2:

202.58.105.80:5073

2.4 南亚APT组织对医疗机构的定向攻击

南亚CNC APT组织近日以邮件为投递方式进行攻击，诱导用户执行宏，下载后门文件并执行。部分诱饵文档名如下：新型冠状病毒感染引起的肺炎的诊断和预防措施.xlsm、武汉旅行信息收集申请表.xlsm、收集健康准备信息的申请表.xlsm、申请表格.xlsm。

攻击者在文档中附带了额外的数据，启用宏后会使用Key: nhc_gover去解密数据，访问hxxp://45.xxx.xxx.xx/window.sct，使用scrobj.dll远程执行该Sct文件，该文件会再次访问下载hxxp://45.xxx.xxx.xx/window.jpeg，并将其重命名为temp.exe存放于用户启动文件夹下，实现自启动驻留。该后门程序与已知的南亚组织后门cnc_client相似，通过分析，其通讯格式功能有显著的cnc_client后门特征。

3.国外威胁情况介

3.1 KnowBe4发现的冠状病毒网络钓鱼攻击

1月31号，安全意识培训机构KnowBe4的研究人员发现了一封利用民众对新型冠状病毒的恐惧心理进行的网络钓鱼行动。攻击者试图将其垃圾邮件伪装成CDC Health Alert Network分发的官方警报消息，宣称可以提供周围区域的感染者列表，以此诱骗潜在的受害者点击邮件中嵌入的链接并进入钓鱼页面。

钓鱼邮件利用社会工程学的手段获取了收件人的相关姓名，并告知目标疾病预防控制中心已经建立了事件管理系统，用于协调国内外的公共卫生对策。然后，攻击者提供了一个可以查看其城市周围新感染病例的更新列表的链接。将链接被伪装为CDC官方网站的链接，用于将受害者重定向到攻击者控制并以Outlook为主题的网络钓鱼登录页面，该页面用于收集和窃取用户凭据。该钓鱼邮件的模板如下：

3.2 Mimecast发现的网络钓鱼攻击

针对邮件安全的Mimecast公司近期也发现了一起利用武汉冠状病毒事件进行传播的网络钓鱼行动。该钓鱼活动主要是针对美国和英国。攻击者宣称邮件附带的PDF文件有应对冠状病毒传播的安全措施，并强调这些安全措施性的重要性促使攻击目标下载该恶意PDF文件来感染计算机。该钓鱼邮件的模板如下：

3.3 Emotet病毒的新传播手法

Emotet是一种通过邮件传播的银行木马，诱骗用户点击执行恶意代码，最早被发现于2014年并持续活动至今，在国内也有一定的影响面。IBM X-Force在近期发现了日本有利用冠状病毒信息进行传播的网络钓鱼邮件。攻击者伪装日本公共卫生中心福利社向攻击目标发出了一封关于冠状病毒预防措施的通知。攻击者同时在页脚附上了合法的联系方式和地址以增加真实性。同时宣称在这些电子邮件的附件中提供了有关如何预防冠状病毒的详细措施。钓鱼邮件模板如下：

附件文档中要求受害者启用宏查看完整文档，启动宏的情况下打开附件，经过混淆的VBA宏脚本会打开powershell并在后台安装Emotet下载器。攻击路径图如下：

IOC：

8C809B4AC6D95CE85A0F04CD04B7A7EA

586FB4A6FFDFEB423F1F1782AAA9BB9F

8800EBD065B52468FA778B4527437F5A

379959D80D0BFC45AAB6437474D1F727

C2：

http://109.236.109.159:8080/vnx8v

http://85.96.49.152/6oU9ipBIjTSU1

http://186.10.98.177/faHtH2y

Emotet恶意软件网址：

http://erasmus-plius.tomasjs.com/wp-admin/KfesPCcG/

http://easytogets.com/xfxvqq/UXbKAbm/

http://drhuzaifa.com/wp-includes/2i48k7-evv28gw-205510/

http://dewarejeki.info/wp-includes/up58jauc-pum2w-630352/

http://dewakartu.info/wp-includes/BRVMFYvIR/

4 解决方案

近期的黑客们利用公众高度关注、渴求获得新型冠状病毒相关信息的心理进行攻击活动。为了用户的安全，江民赤豹网络安全实验室建议：

1、 主机上安装防病毒软件并保持病毒库的最新更新状态；

2、 收到关于冠状病毒主题的邮件时，不要轻易打开附件文件和链接；

3、 不要轻易在互联网上下载打开带有“武汉肺炎疫情”，“新型冠状病毒”等相关名称，后缀为exe，scr的可执行文件；

4、 不要轻易打开未知来源的docx、rtf、doc、xls、xlsx等文档。