自新冠疫情发生以来，不法分子屡屡利用疫情话题发起黑客攻击。2020年年初受疫情和春节假期影响，安全事件报送数量大幅减少，但节后木马攻击逐步增加。绿盟科技不久前发布的《2020年度安全事件响应观察报告》对这一趋势进行了研究披露。本文主要内容是以绿盟科技应急响应团队在对疫情期间网络威胁行为的跟踪与分析后得出的相关结论，以期提高用户对该类木马的攻击警惕性，共同守护网络空间的清朗可信。

结论一：木马利用疫情进行钓鱼攻击

新冠疫情往往被攻击者利用进行钓鱼攻击。2020年2月和3月期间，海莲花、蔓灵花等组织均采用“鱼叉攻击”、“水坑攻击”等手法，利用“武汉疫情”等主题，对医疗行业及相关人员发起定向攻击，对疫情防控相关工作造成一定影响。

2020年年初，绿盟科技应急响应团队收到某客户遭受钓鱼攻击的反馈，在对客户邮件内容进行分析提取之后，获取到了文件名为《武汉旅行信息收集申请表》，扩展名为xlsm的钓鱼文档。

疫情相关钓鱼样本截图

此外，FormBook木马还利用新冠疫情发动鱼叉邮件攻击。绿盟科技应急响应团队去年年初捕获了一起FormBook木马利用新冠疫情发起的攻击事件。该起攻击事件中，攻击者将疫情信息融入鱼叉邮件诱饵中，设计了欺骗度极高的社工内容，借此攻击用户。实际上，遭受攻击的不只国内用户，国外用户也经常受到该类木马的攻击。

FormBook木马邮件截图

结论二：医疗行业成为重点攻击目标

近几年来，针对医疗行业的攻击持续增加。2020年，受新冠疫情影响，医疗行业更是成为各类木马的重点攻击对象。据绿盟科技2020年处理的医疗行业安全事件统计分析显示，获取经济利益仍然是黑客攻击医疗机构的主要目的，其中利用勒索软件的攻击方式占据绝对比重。

医疗行业发生安全事件类型统计

部分黑客及APT组织借助疫情期间热点事件，以传播木马病毒为主要手段开展攻击，如利用新冠疫情题材的文件诱使目标医疗机构的相关人员执行木马程序，最终达到控制系统、窃取敏感数据等目的。

此外，由于医疗数据价值高，黑客受利益驱使，往往会重点攻击医疗机构信息系统，如HIS、PACS、LIS、RIS等医院信息系统。医院信息系统承担了医院及其所属各部门的人流、物流等综合管理工作，这些数据极为重要，一旦被病毒加密勒索，将会造成重大损失。

结论三：攻击者聚焦远程办公软件

去年年初，受新冠疫情影响，多地宣布延迟复工时间，全民抗“疫”时期，远程办公模式成为主流。远程办公在带来便捷的同时，也伴随着不小的安全风险，如办公设备不同、网络环境各异，安全风险不容小觑。因此，Gartner 2020年十大安全项目中加入了Securing Your Remote Workforce，即远程办公安全项目 。

与远程办公密切相关的系统和应用包括OA、远程接入、视频会议和即时通讯等，近年来这些远程系统多次被国家信息安全漏洞共享平台(CNVD)披露高危漏洞信息。其中有关OA系统披露的高危漏洞数量增长趋势明显，这可能跟远程办公后，相关系统的安全性愈发被人们关注有直接关系。另外，绿盟科技IRT在处理视频会议服务器遭受攻击的事件时还发现，攻击者没有进行漏洞测试和扫描，而是直接进行了漏洞利用，因此攻击者很有可能已掌握了该视频系统的漏洞。