疫情亦網(wǎng)情，新冠病毒之后網(wǎng)絡(luò)空間成疫情戰(zhàn)役的又一重要戰(zhàn)場(chǎng)。

就在全國人民萬眾一心抗擊疫情之時(shí)，近日，360安全大腦捕獲了一例利用新冠肺炎疫情相關(guān)題材投遞的攻擊案例，攻擊者利用肺炎疫情相關(guān)題材作為誘餌文檔，對(duì)抗擊疫情的醫(yī)療工作領(lǐng)域發(fā)動(dòng)APT攻擊。

在進(jìn)一步追蹤溯源中，我們發(fā)現(xiàn)這起APT組織隸屬于印度黑客組織。

抗疫攻堅(jiān)難題當(dāng)前，印度APT組織竟公然瞄準(zhǔn)我國醫(yī)療機(jī)構(gòu)發(fā)動(dòng)攻擊！借勢(shì)攪局、趁火打劫，此舉不僅令人憤慨至極。

是誰在趁火打劫，對(duì)我國痛下毒手？在揭開幕后真兇的神秘面紗前，我們先簡(jiǎn)單了解下此次攻擊者的攻擊“路數(shù)”。

該攻擊組織使用采用魚叉式釣魚攻擊方式，通過郵件進(jìn)行投遞。

可恨至極的是，它竟公然利用當(dāng)前肺炎疫情等相關(guān)題材作為誘餌文檔，部分相關(guān)誘餌文檔如：武漢旅行信息收集申請(qǐng)表.xlsm，進(jìn)而通過相關(guān)提示誘導(dǎo)受害者執(zhí)行宏命令。

簡(jiǎn)單說，攻擊者其將關(guān)鍵數(shù)據(jù)存在worksheet里，worksheet被加密，宏代碼里面使用key去解密然后取數(shù)據(jù)。

然而其用于解密數(shù)據(jù)的Key為：nhc_gover，而nhc正是中華人民共和國國家衛(wèi)生健康委員會(huì)的英文縮寫。

這里一旦宏命令被執(zhí)行，攻擊者就能訪問hxxp://45.xxx.xxx.xx/window.sct，并使用scrobj.dll遠(yuǎn)程執(zhí)行Sct文件，這是一種利用INF Script下載執(zhí)行腳本的技術(shù)。

誰又該提高警惕，免遭其迫害？在明確了是誰在打我們的時(shí)候，又一個(gè)重要問題迎來而來，誰是此次攻擊的受害者？不言而喻，當(dāng)攻擊者精心利用新冠肺炎疫情相關(guān)題材，作為誘餌文檔，進(jìn)行魚叉式攻擊時(shí)，醫(yī)療機(jī)構(gòu)、醫(yī)療工作領(lǐng)域無疑成為此次攻擊的最大受害者。

別有用心國家級(jí)APT組織的攪局，讓這場(chǎng)本就步履維艱的疫情之戰(zhàn)，更加艱難。

一旦其“攻擊陰謀”得逞，輕則丟失數(shù)據(jù)、引發(fā)計(jì)算機(jī)故障，重則影響各地疫情防控工作的有序推進(jìn)，危及個(gè)人乃至企業(yè)政府等各機(jī)構(gòu)的網(wǎng)路安全。

尤其面對(duì)這等有著國家級(jí)背景的APT組織的攻擊，后果簡(jiǎn)直不堪設(shè)想。