刀客 从今天开始,魔族第八位君主——喜悦的格兰德,已经死了。《加油大魔王》
鄂ICP备2022018375号
鄂公网安备 42060202000229号

提供CDN加速/云存储服务自豪地使用 Typecho 建站搭配使用 🌻Sunny 主题当前在线 0 人
歌曲封面 未知作品
  • 歌曲封面True(与恶魔有约)电音beat甜小泽
  • 歌曲封面浮夸陈奕迅
  • 歌曲封面匆匆那年周深
  • 歌曲封面漂洋过海来看你周深
  • 歌曲封面阴天莫文蔚
  • 歌曲封面广岛之恋莫文蔚

鄂ICP备2022018375号
鄂公网安备 42060202000229号

提供CDN加速/云存储服务

网站已运行 4 年 314 天 16 小时 2 分

Powered by Typecho & Sunny

0 online

Title

[重要]印度APT组织对我国医疗机构发起定向攻击,小白防护方法。

Terrence

·

Article
⚠️ 本文最后更新于2023年05月01日,已经过了333天没有更新,若内容或图片失效,请留言反馈
在疫情还未平息之时,根据360官方提供的消息,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。——原文链接

HUC(中国红盟)也于昨日在社区发布了题为《警告!对于印度APT组织对中国网络发起攻》(原文链接)的公告。Terrece对于这一情况虽然很愤怒但是奈何学艺不精没办法去反击,针对这个现有情报将攻击方式防护分析如下:

表现方式

该攻击方法从形式上看是属于利用欺骗手段骗取用户下载诱饵文档,即通过邮件形式发送带有附件文档的邮件至目标邮箱(这些目标邮箱大多是属于医疗机构等目前的防疫、科研机构以及相关工作人员个人邮箱)。这些附件名称一般有武汉旅行信息收集申请表.xlsm等名称的附件。

下载打开相应附件文档后,会提示用户启用宏,这时候一旦用户点击启用宏攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用scrobj.dll远程执行Sct文件。继而发生信息泄露等安全问题。

识别及防护方法

1.使用正规公文传输系统,避免使用邮箱传输与疫情相关的各类统计文档文件。另一方面注意邮件来源,不轻信莫名地址发送的邮件ps360似乎也提供了安全的办公传输防护,相关文件尽量采取OA或者qq群专人负责传递方式。

2.同时Terrece对比发现加入了宏病毒的文件扩展名与一般的xls有区别,多加了m后缀为xlsm,或许可以作为分辨方式之一,不执行该类附件。

3.鉴于外国人搞破坏中文水平有限,我们可以轻易发现,他们传输的文档中中文翻译器翻译的会有语句不通,当打开附件发现这类语句不通的文件时,切勿执行“启用宏”选项

office2010下的启用宏提示

最后,如果您是相关工作者,请务必注意!!天佑中华!!鉴于Terrence水平有限如有错误,请更正,同时terrence也会密切关注事态进展。

现在已有 1 条评论,0 人点赞
Comment
发表
  1. 头像
    @
    头条
    文章还不错支持一下
    · Chrome
搜 索
博主