新冠病毒(COVID-19)已经成为一种全球大流行病,这是攻击者利用我们的集体恐惧来增加成功攻击可能性的黄金时机。和往常一样,他们一直在做的就是:利用冠状病毒作为诱饵,开展垃圾邮件和鱼叉式网络钓鱼运动。

从1月下旬开始,一些网络犯罪和国家支持的高级持续威胁(APT)组织一直在利用基于冠状病毒的网络钓鱼作为他们的感染载体,以获得对受害者机器的立脚点并发动恶意软件攻击。就像新冠病毒本身的传播一样,中国是第一个被APT群体攻击的目标,随着病毒在全球范围内的传播,这些攻击也成为了目标。

在下文中,我们概述了使用冠状病毒作为诱饵的APT组,我们分析了它们的感染技巧和最终有效载荷。我们根据Covid-19广告系列中使用的四个不同攻击向量对APT组进行分类:模板注入,恶意宏,RTF利用和恶意LNK文件。

您可以查看使用COVID-19的apt的完整报告在这里

攻击向量

  • 模板注射:模板注射是指演员在Lure文档中嵌入脚本Moniker的技术,其中包含XML设置中的恶意Office模板的链接。打开文档后,将删除并执行远程模板。金苏基和Gamaredon APTS使用这种技术。
  • 恶意宏:嵌入恶意宏是威胁组使用的最受欢迎的方法。在该技术中,宏被嵌入在打开时将被激活的诱饵文档中。KONNI(APT37),APT36,PAMPWORK,HADES,TA505,TA542,苦,APT32(海洋LOTUS)和KIMSUKY是使用该技术的演员。
  • RTF漏洞利用:RTF是一种灵活的文本格式,允许在内部嵌入任何对象类型,并使RTF文件容易受到许多与对象相关漏洞的攻击。几个中国威胁演员使用RTF文件,其中Calypso组和Winnti。
  • 恶意LNK文件:LNK文件是Microsoft Windows使用的一种快捷方式文件,被认为是一种可以执行的Shell项类型。野马熊猫是一种中国的威胁行为者,它使用这种技术将PlugX RAT或Cobalt Strike的变体丢入受害者的机器。Higaisia是朝鲜的一个威胁组织,也使用这种方法。

我们预计,在未来几周和几个月,APT威胁行动者将继续利用这一危机,利用论文中提到的技术来策划网络钓鱼活动,以危及他们的目标。

Malw必威平台APParebytes威胁情报团队正在监测威胁景观,特别注意试图滥用公众围绕Covid-19危机的恐惧。我们的必威平台APPMalwarebytes消费者和商业客户是保护这些攻击,感谢我们的多层检测引擎。