:D 获取中...

[重要]印度APT组织对我国医疗机构发起定向攻击,小白防护方法。


February 7, 2020 247 次阅读 1 条评论

在疫情还未平息之时,根据360官方提供的消息,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。——原文链接

HUC(中国红盟)也于昨日在社区发布了题为《警告!对于印度APT组织对中国网络发起攻》(原文链接)的公告。Terrece对于这一情况虽然很愤怒但是奈何学艺不精没办法去反击,针对这个现有情报将攻击方式防护分析如下:

表现方式

该攻击方法从形式上看是属于利用欺骗手段骗取用户下载诱饵文档,即通过邮件形式发送带有附件文档的邮件至目标邮箱(这些目标邮箱大多是属于医疗机构等目前的防疫、科研机构以及相关工作人员个人邮箱)。这些附件名称一般有武汉旅行信息收集申请表.xlsm等名称的附件。

下载打开相应附件文档后,会提示用户启用宏,这时候一旦用户点击启用宏攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用scrobj.dll远程执行Sct文件。继而发生信息泄露等安全问题。

识别及防护方法

1.使用正规公文传输系统,避免使用邮箱传输与疫情相关的各类统计文档文件。另一方面注意邮件来源,不轻信莫名地址发送的邮件ps360似乎也提供了安全的办公传输防护,相关文件尽量采取OA或者qq群专人负责传递方式。

2.同时Terrece对比发现加入了宏病毒的文件扩展名与一般的xls有区别,多加了m后缀为xlsm,或许可以作为分辨方式之一,不执行该类附件。

3.鉴于外国人搞破坏中文水平有限,我们可以轻易发现,他们传输的文档中中文翻译器翻译的会有语句不通,当打开附件发现这类语句不通的文件时,切勿执行“启用宏”选项

office2010下的启用宏提示

最后,如果您是相关工作者,请务必注意!!天佑中华!!鉴于Terrence水平有限如有错误,请更正,同时terrence也会密切关注事态进展。

不要点

标签:网络安全防护

生成海报

最后编辑于:2020/02/07 11:41

仅有 1 条咸鱼

  1. 头条
    头条
    2020-03-18 18:00

    文章还不错支持一下