當(dāng)前,全民乃至全球都在開(kāi)展新型冠狀病毒的攻堅(jiān)戰(zhàn)疫,然而不曾想,一款木馬病毒,披上防控“新冠病毒”的外衣后,開(kāi)始向航運(yùn)企業(yè)的網(wǎng)絡(luò)進(jìn)行黑客攻擊,并正在快速擴(kuò)散。
近日,360安全衛(wèi)士發(fā)出通知,稱其全球首家攔截到了以“冠狀病毒”為主題的釣魚(yú)活動(dòng),該網(wǎng)絡(luò)攻擊行動(dòng)主要瞄準(zhǔn)大型航運(yùn)公司,并定向擴(kuò)散商業(yè)間諜木馬病毒“HawkEye Keylogger 10.0”,監(jiān)控并竊取多種有價(jià)值的數(shù)據(jù),包括電腦上的賬號(hào)密碼、鍵盤(pán)記錄、屏幕截圖、攝像頭、剪切板等。
經(jīng)分析發(fā)現(xiàn),該商業(yè)間諜木馬“HawkEye Keylogger 10.0”又稱“鷹眼鍵盤(pán)記錄器”,國(guó)內(nèi)外已有大批航運(yùn)企業(yè)不幸感染。 這款“鷹眼”惡意木馬軟件,此次打著“新冠病毒”的旗號(hào)針對(duì)航運(yùn)業(yè)的網(wǎng)絡(luò)攻擊,主要通過(guò)3個(gè)伎倆來(lái)實(shí)現(xiàn),我們來(lái)具體看看這3個(gè)伎倆。
伎倆一:
冒充“新冠病毒”防控郵件 誘導(dǎo)用戶點(diǎn)擊運(yùn)行
據(jù)悉,此次的“HawkEye Keylogger 10.0”木馬病毒,主要利用釣魚(yú)郵件的方式傳播擴(kuò)散。不法分子將暗藏惡意代碼的表格文檔“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”發(fā)送至目標(biāo)人群郵箱。
而該文檔名翻譯成中文即為“冠狀病毒影響船員和輪船航運(yùn)”,在新冠疫情防控的當(dāng)下,極具誘導(dǎo)性,操作者很容易受誘導(dǎo)打開(kāi)惡意文檔。而一旦打開(kāi),界面又會(huì)顯示一個(gè)帶有安全警告的宏禁用提示,再一次誘導(dǎo)用戶點(diǎn)擊運(yùn)行。
一旦用戶點(diǎn)擊運(yùn)行x這款木馬病毒就將竊取設(shè)備上的信息。
此外,該“鷹眼”惡意軟件,也可以作為加載器,利用其僵尸網(wǎng)絡(luò)幫助第三方威脅行為者將其他惡意軟件加載至該設(shè)備。
伎倆二:
鉆office漏洞,強(qiáng)行嵌入惡意代碼
據(jù)悉,如果“鷹眼”惡意軟件使用郵件誘導(dǎo)用戶的伎倆沒(méi)有成功,那么接下來(lái),它就會(huì)通過(guò)經(jīng)典的office公式編輯器漏洞(CVE-2017-11882),讓文檔攜帶的惡意代碼在用戶電腦中自動(dòng)運(yùn)行。
這一步一旦成功后,將下載解密木馬核心模塊“Hawk Eye Keylogger”,并根據(jù)資源中的加密配置,將信息回傳給遠(yuǎn)程ESMTP服務(wù)器,具體地址為“mail.novaa-ship.com”,而發(fā)送郵件所使用的賬號(hào)則為“armani@novaa-ship.com”(阿瑪尼)。
伎倆三:
偽裝成航運(yùn)巨頭的企業(yè)域名
除了上述兩個(gè)伎倆,還發(fā)現(xiàn)冒充航運(yùn)巨頭企業(yè)的域名,也是這款“鷹眼”惡意軟件的常用手段,比如新加坡Nova航運(yùn)公司官方域名就被該惡意軟件冒用,其通過(guò)在“nova”域名后增加字母 “a”,用以迷惑客戶和用戶。
此外,最近英國(guó)某知名航運(yùn)公司的計(jì)算機(jī)也遭受到未經(jīng)授權(quán)的網(wǎng)絡(luò)入侵,導(dǎo)致整個(gè)預(yù)防系統(tǒng)措施淪陷。
在遭遇網(wǎng)絡(luò)侵襲后,該公司立即采取了防御措施,并調(diào)派外部專家、網(wǎng)絡(luò)安全專家,努力盡快完成恢復(fù)工作,將黑客攻擊對(duì)航運(yùn)業(yè)務(wù)的影響降到最低。
網(wǎng)絡(luò)攻擊將給航運(yùn)企業(yè)帶來(lái)巨大損失,我們還記得馬士基集團(tuán)2017年遭受的網(wǎng)絡(luò)攻擊,當(dāng)時(shí)馬士基集團(tuán)的的港口和航運(yùn)業(yè)務(wù)受到全面影響,持續(xù)時(shí)間長(zhǎng)達(dá)兩周,馬士基直接損失了近3億美元。
據(jù)悉,目前該“鷹眼”惡意木馬軟件正打著“新冠病毒”的旗號(hào)快速擴(kuò)散,并向國(guó)際商業(yè)范疇蔓延,攻擊對(duì)象包括航運(yùn)業(yè)在內(nèi)的整個(gè)國(guó)際貿(mào)易網(wǎng)絡(luò)。 所以提醒航運(yùn)企業(yè),在全力防控新冠疫情的同時(shí),還要警惕不法分子冒用“新冠病毒”旗號(hào)欺騙攻擊,要做好郵件甄別,筑牢網(wǎng)絡(luò)安防堡壘。在針對(duì)這場(chǎng)新冠病毒的戰(zhàn)疫中,既確保人員安全,又確保網(wǎng)絡(luò)安全。
