[重要]印度APT组织对我国医疗机构发起定向攻击，小白防护方法。

在疫情还未平息之时，根据360官方提供的消息，360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例，攻击者利用肺炎疫情相关题材作为诱饵文档，对抗击疫情的医疗工作领域发动APT攻击。——原文链接

HUC（中国红盟）也于昨日在社区发布了题为《警告！对于印度APT组织对中国网络发起攻》（原文链接）的公告。Terrece对于这一情况虽然很愤怒但是奈何学艺不精没办法去反击，针对这个现有情报将攻击方式防护分析如下：

表现方式

该攻击方法从形式上看是属于利用欺骗手段骗取用户下载诱饵文档，即通过邮件形式发送带有附件文档的邮件至目标邮箱（这些目标邮箱大多是属于医疗机构等目前的防疫、科研机构以及相关工作人员个人邮箱）。这些附件名称一般有武汉旅行信息收集申请表.xlsm等名称的附件。

下载打开相应附件文档后，会提示用户启用宏，这时候一旦用户点击启用宏攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct，并使用scrobj.dll远程执行Sct文件。继而发生信息泄露等安全问题。

识别及防护方法

1.使用正规公文传输系统，避免使用邮箱传输与疫情相关的各类统计文档文件。另一方面注意邮件来源，不轻信莫名地址发送的邮件ps360似乎也提供了安全的办公传输防护，相关文件尽量采取OA或者qq群专人负责传递方式。

2.同时Terrece对比发现加入了宏病毒的文件扩展名与一般的xls有区别，多加了m后缀为xlsm，或许可以作为分辨方式之一，不执行该类附件。

3.鉴于外国人搞破坏中文水平有限，我们可以轻易发现，他们传输的文档中中文翻译器翻译的会有语句不通，当打开附件发现这类语句不通的文件时，切勿执行“启用宏”选项。

最后，如果您是相关工作者，请务必注意！！天佑中华！！鉴于Terrence水平有限如有错误，请更正，同时terrence也会密切关注事态进展。