概要

　　自今年年初新冠病毒在國內全面爆發，奇安信威脅情報中心便立刻意識到在這樣的非常時期，網絡攻擊者絕不會自我“隔離”。保障關鍵業務系統的安全穩定運行及信息安全、重要網站的正常運轉和內容不被篡改、防范和阻斷利用疫情相關熱點的APT、黑產等網絡攻擊，是另一個當務之急。

　　在春節期間，奇安信紅雨滴團隊和奇安信CERT便建立了圍繞疫情相關網絡攻擊活動的監控流程，以希冀在第一時間阻斷相關攻擊，并發布相關攻擊預警。

　　截至目前，奇安信紅雨滴團隊捕獲了數十個APT團伙利用疫情相關信息針對境內外進行網絡攻擊活動的案例，捕獲了數百起黑產組織傳播勒索病毒、遠控木馬等多類型惡意代碼的攻擊活動。并通過基于奇安信威脅情報中心威脅情報數據的全線產品阻斷了數千次攻擊。相關詳細信息均及時上報國家和地方相關主管部門，為加強政企客戶和公眾防范意識，也將其中部分信息摘要發布。

　　在本報告中，我們將結合公開威脅情報來源和奇安信內部數據，針對疫情期間利用相關信息進行的網絡攻擊活動進行分析，主要針對疫情相關網絡攻擊態勢、APT高級威脅活動、網絡犯罪攻擊活動，以及相關的攻擊手法進行詳細分析和總結。

　　主要觀點

　　從奇安信對疫情期間監控到的各類網絡攻擊活動來看。在疫情爆發初期，我們捕獲到的攻擊來源主要集中在嗅覺靈敏的國家級APT組織以及網絡黑產團伙，例如：海蓮花、摩訶草、毒云藤、金眼狗等等。他們利用受害者對于疫情熱點信息的高關注度，使用疫情相關內容作引誘，并多采用釣魚、社交網絡等方式針對特定人群和機構進行定向攻擊。

　　而在疫情爆發的中期，各類網絡犯罪團伙輪番登場。我們持續監控到國內外諸多網絡犯罪團伙通過疫情熱點信息傳播勒索病毒、銀行木馬、遠控后門等惡意程序的斂財活動。

　　隨著新冠肺炎的全球性蔓延，當前我們監控到越來越多的APT組織、黑產團伙、網絡犯罪組織加入到利用疫情熱點的攻擊活動中。例如近期新冠肺炎爆發的國家意大利，我們就捕獲了多個針對意大利并利用新冠肺炎為誘餌的網絡攻擊活動。從當前奇安信針對疫情期間的網絡攻擊大數據分析來看，隨著疫情的全球性蔓延，相關的網絡攻擊已存在蔓延態勢的苗頭。

　　全球疫情相關網絡攻擊趨勢

　　數量和趨勢

　　自今年1月底新冠疫情爆發開始，嗅覺靈敏的國家級APT組織以及網絡黑產團伙便率先展開在網絡空間借疫情信息進行的網絡攻擊活動。1月底到2月中旬，由于大規模疫情僅限于中國境內，這一期間，疫情相關的網絡攻擊活動也主要表現為針對中國境內。而隨著2月中旬后，新冠疫情開始在全球范圍內爆發，隨之而來的網絡攻擊行動也逐步擴撒到世界范圍，攻擊活動越發頻繁，越來越多的APT組織、黑產團伙、網絡犯罪組織加入到利用疫情熱點的攻擊活動中。

　　誘餌關鍵字

　　根據奇安信紅雨滴團隊基于疫情相關網絡攻擊活動的監控來看，網絡空間的攻擊隨著新冠病毒的擴撒而變化。前期，只有中國境內疫情嚴重時，相關網絡攻擊便集中針對漢語使用者，并多借以疫情相關中文熱點誘餌信息進行攻擊。相關誘餌包含的信息例如：“口罩價格”、“疫情防控”、“逃離武漢”、”信息收集”、”衛生部”等等。

　　而到了2月中旬，歐洲、日韓等國家疫情突然進入爆發期，針對全球范圍的網絡攻擊開始激增，誘餌信息開始轉變為多種語言，以” Covid19”、”Covid”、”mask”、”CORONA VIRUS”、”Coronavirus”、”COVID-19”等誘餌信息為主。

　　惡意文件類型

　　而在本輪疫情相關的網絡攻擊活動中涉及的惡意文件類型來看，大部分攻擊者傾向于直接將PE文件加上疫情相關的誘餌名并通過郵件、社交媒體等方式傳播。其次是帶有惡意宏或者Nday漏洞的文檔類樣本。同時，移動端的攻擊數量也不在少數。

　　受害目標的國家和地區

　　通過疫情相關的網絡攻擊目標來看，中國、美國、意大利等疫情影響最為嚴重的國家也恰巧成為疫情相關攻擊最大的受害地區，這說明網絡攻擊者正是利用了這些地區疫情關注度更高的特點來執行誘導性的網絡攻擊。下圖為受疫情相關網絡攻擊的熱度地圖，顏色越深代表受影響更大。

　　活躍的APT和黑產團伙

　　通過紅雨滴團隊的疫情攻擊監測發現，黑產團伙仍然是疫情相關網絡攻擊活動的最主要來源，其通過疫情相關誘餌傳播銀行木馬、遠控后門、勒索挖礦、惡意破壞軟件等惡意代碼，近期紅雨滴團隊還捕獲了偽裝成世衛組織傳播惡意木馬的多起網絡攻擊活動。

　　而國家級APT組織當然也是嗅覺最靈敏的網絡攻擊團伙，在疫情爆發的整個周期，針對疫情受害嚴重的國家和地區的APT攻擊活動就沒有停止過。已被公開披露的APT攻擊事件就已達數十起。我們在下圖中列舉了截止目前借疫情進行APT攻擊的團伙活躍度。

　　疫情相關攻擊活動分析

　　奇安信紅雨滴團隊基于疫情網絡攻擊事件感知系統，捕獲了數百例疫情相關的APT攻擊與網絡犯罪等攻擊活動。以下部分分別介紹APT和網絡犯罪相關的威脅活動和攻擊技術。

　　針對性的APT高級威脅活動

　　APT攻擊，即高級可持續威脅攻擊,也稱為定向威脅攻擊，指某組織對特定對象展開的持續有效的攻擊活動。這種攻擊活動具有極強的隱蔽性和針對性,通常會運用受感染的各種介質、供應鏈和社會工程學等多種手段實施先進的、持久的且有效的威脅和攻擊。

　　摩訶草

　　摩訶草組織(APT-C-09)，又稱 HangOver、VICEROY TIGER、The Dropping Elephant、 Patchwork，是一個來自于南亞地區的境外 APT 組織，該組織已持續活躍了 7 年。摩訶草組 織最早由 Norman 安全公司于 2013 年曝光，隨后又有其他安全廠商持續追蹤并披露該組織的最新活動，但該組織并未由于相關攻擊行動曝光而停止對相關目標的攻擊，相反從 2015 年開始更加活躍。摩訶草組織主要針對中國、巴基斯坦等亞洲地區國家進行網絡間諜活動，其中以竊取敏感信息為主。相關攻擊活動最早可以追溯到 2009 年 11 月，至今還非?；钴S。在針對中國地區的攻擊中，該組織主要針對政府機構、科研教育領域進行攻擊，其中以科研教育領域為主。

　　在疫情爆發初期，該組織便利用” 武漢旅行信息收集申請表.xlsm”,” 衛生部指令.docx”等誘餌對我國進行攻擊活動。同時，該組織也是第一個被披露利用疫情進行攻擊的APT組織。

　　蔓靈花

　　蔓靈花(Bitter)是疑似具有南亞背景的APT組織，長期針對中國、巴基斯坦等國家進行攻擊活動，該組織主要針對政府、軍工業、電力、核等單位進行攻擊，竊取敏感資料，具有強烈的政治背景。

　　摩訶草率先借疫情發動攻擊后，同樣具有南亞背景的蔓靈花也開始偽裝國內某政府單位進行攻擊活動。

　　海蓮花

　　海蓮花(OceanLotus)是一個據稱越南背景的 APT 組織。該組織最早于 2015 年 5 月被天眼 實驗室所揭露并命名，其攻擊活動最早可追溯到 2012 年 4 月，攻擊目標包括中國海事機構、 海域建設部門、科研院所和航運企業，后擴展到幾乎所有重要的組織機構，并持續活躍至今。

　　而實際上，根據各安全廠商機構對該組織活動的拼圖式揭露，海蓮花團伙除針對中國發起攻擊之外，其攻擊所涉及的國家分布非常廣泛，包括越南周邊國家，如柬埔寨、泰國、老撾等， 甚至包括越南的異見人士、媒體、地產公司、外資企業和銀行。

　　奇安信紅雨滴(RedDrip)安全研究團隊(前天眼實驗室)一直對海蓮花團伙的活動保持高強度的跟蹤，疫情期間，一直針對國內進行攻擊的海蓮花自然不會放過機會。不但利用疫情相關信息進行攻擊，還利用了湖南爆發的禽流感等信息進行攻擊。并采用WPS白加黑的方式執行木馬。

　　毒云藤

　　毒云藤，又稱APT-C-01, 綠斑，是一個長期針對中國國防、政府、科技、教育以及海事機構等重點單位和部門的APT組織，該組織最早的活動可以追溯到2007年。

　　疫情期間，該組織開展了多次疫情相關的釣魚行動，分別構造了虛假的qq郵箱，163郵箱等登陸界面，以”《南部杜氏中醫》獻方”，“新表.xls”等為誘餌，誘導受害者輸入賬戶密碼登陸下載文件。從而竊取受害者賬號密碼

　　Hades

　　Hades組織最早被披露是在2017年12月22日針對韓國平昌冬奧會的攻擊事件，其向冬奧會郵箱發送帶有惡意附件的魚叉郵件，投遞韓文的惡意文檔，控制域名為偽裝的韓國農林部域名地址。

　　該組織使用被命名為OlympicDestroyer的惡意代碼，其對目標主機系統具有破壞性

　　奇安信紅雨滴團隊在日常的疫情攻擊監測中，發現一例偽裝為烏克蘭衛生部公共衛生中心發布疫情信息的攻擊樣本。在捕獲該樣本的第一時間便對其進行了公開披露。

　　ProjectM

　　ProjectM又稱APT36, Transparent Tribe,Operation C-Major。是疑似具有南亞政府背景的攻擊組織，其主要針對周邊國家地區進行攻擊活動。

　　奇安信威脅情報中心公開披露了該組織利用新冠病毒信息進行攻擊的樣本。

　　Kimsuky

　　Kimsuky，別名Mystery Baby，Baby Coin，Smoke Screen，Black Banshe。疑似具有東北亞背景，主要針對韓國，俄羅斯進行攻擊活動，最早有卡巴斯基披露。韓國安全公司認為其與Group123存在部分重疊。

　　3月初，韓國疫情開始爆發，而作為長期針對韓國進行網絡攻擊行動的APT，Kimsuky自然不會放過如此好機會，也利用疫情相關信息對韓國進行了攻擊活動。

　　KONNI

　　Konni組織被認為是來自東北亞的APT團伙，韓國安全廠商ESTsecurity通過關聯分析，認為其與Kimsuky組織存在聯系。

　　在疫情期間，Konni組織也沒讓Kimsuky單兵作戰，Konni使用其常用的攻擊手法展開了疫情期間的攻擊活動。

　　TA505

　　TA505組織由Proofpoint在2017年9月首次命名，其相關活動可以追溯到2014年。該組織主要針對銀行金融機構，采用大規模發送惡意郵件的方式進行攻擊，并以傳播Dridex、Locky等惡意樣本而臭名昭著

　　在疫情期間，紅雨滴團隊捕獲該團伙多個以“COVID-19-FAQ.xls”為名的攻擊文檔。

　　網絡犯罪及相關攻擊技術

　　黑產等網絡犯罪攻擊不同于APT攻擊具有非常獨特的定向性，通常采用撒網的方式，四處傳播惡意代碼，以達到牟利的目的。在疫情期間，紅雨滴團隊捕獲多個黑產團體的攻擊行動，包括已被披露的金眼狗等。

　　由于黑產團伙組織較多，且攻擊活動基本一致，故本節不以團伙分類，而從攻擊手法上進行闡述。

　　魚叉郵件攻擊

　　釣魚郵件在網絡攻擊活動中是最常見的一種投遞方式，黑客通過熱點新聞等信息誘導受害者執行郵件附件，從而控制受害者計算機。以下為部分利用疫情熱詞并通過釣魚郵件分發的不同惡意附件類型樣本分析。

　　Windows平臺相關攻擊活動

　　此類攻擊方式中，黑客通常將疫情相關的熱門詞匯作為文件名，通過社交媒體等方式進行傳播。

　　博彩相關

　　近幾年隨著在線博彩的需求逐漸上升，東南亞等國從事博彩相關人員越來越多，而一些黑產團伙則格外喜歡針對這些人群，上演黑吃黑。

　　此類攻擊中誘餌一般以“色情”，“暴力”，“熱點新聞”等關鍵字為主。

　　Windows勒索軟件

　　勒索病毒，是伴隨數字貨幣興起的一種新型病毒木馬，通常以垃圾郵件、服務器入侵、網頁掛馬、捆綁軟件等多種形式進行傳播。機器一旦遭受勒索病毒攻擊，將會使絕大多數文件被加密算法修改，并添加一個特殊的后綴，且用戶無法讀取原本正常的文件，對用戶造成無法估量的損失。勒索病毒通常利用非對稱加密算法和對稱加密算法組合的形式來加密文件，絕大多數勒索軟件均無法通過技術手段解密，必須拿到對應的解密私鑰才有可能無損還原被加密文件。黑客正是通過這樣的行為向受害用戶勒索高昂的贖金，這些贖金必須通過數字貨幣支付，一般無法溯源，因此危害巨大。

　　疫情期間，多類勒索軟件也開始利用相關信息進行傳播，包括Dharma/Crysis，CXK惡搞勒索，Android勒索等，其中一例勒索樣本還將自己命名為COVID-19RANSOMWARE

　　挖礦

　　當今互聯網的高速發展，孕育出了一批高新產業，如人工智能、分布式計算、區塊鏈、無人駕駛等。這些高新技術為人們生活帶來便利的同時，引發的安全問題也日益凸顯。隨著區塊鏈技術的普及，其涉及的虛擬數字貨幣也創造了巨大的財富。這些虛擬貨幣可以通過“挖礦”的形式獲取，“礦工”越多，利益越大。因此，近年來有越來越多的黑客團伙通過非法入侵控制互聯網上的計算機并植入木馬程序偷偷進行挖礦活動，為自己謀取暴利。

　　疫情期間，也有不法分子以新型冠狀病毒查詢為誘餌，投遞了永恒之藍挖礦蠕蟲。

　　移動終端相關攻擊活動

　　隨著移動辦公的發展，不論是企業員工還是國家單位工作人員，都會用手機訪問公司內部數據，根據IBM的研究，用戶對移動設備上的網絡釣魚攻擊的回應是桌面的三倍，而原因僅僅是因為手機是人們最先看到消息的地方，而且企業數據、政府數據的泄露導致的損失，很多時候是無法挽回的。如今，移動安全已經不僅僅是個人手機安全的問題，移動訪問也越來越成為企業安全威脅的重要的來源，甚至影響到國家安全。

　　在疫情期間，Android木馬也相繼出現蹭”新冠肺炎”的熱度。不少Android木馬以”新冠病毒”為關鍵字進行投遞，包括老牌Android木馬家族Anubis、Cerberus(地獄犬)、新型木馬家族Cerberus、SMS蠕蟲以及CovidLock勒索病毒等等。

　　Anubis

　　本次監測到的Anubis銀行木馬變種繼承了之前的功能，代碼核心以遠控為主體，釣魚、勒索等其它功能為輔，目的則為獲取用戶關鍵信息，竊取用戶財產。不同之處在于，其將一部分配置信息加密存放在了本地等，而且配置信息中使用了大量的中文，其獲取C2的方式也進行了改變。

　　Cerberus

　　Cerberus木馬與其它銀行木馬一樣功能眾多，而且由于其一直在地下論壇中進行租賃，可以根據“客戶”的不同需求進行功能的增加等，加上其作者的高調做派，儼然已經接過了Anubis的邪惡傳承，成為了目前威脅最大的銀行木馬。

　　Cerberus木馬運行以后會誘騙用戶激活設備管理器、隱藏自身圖標、防止卸載等方式進行自我保護。Cerberus木馬會獲取并上傳用戶手機中短信、通訊錄、手機已安裝的應用信息、gmail信息等。此外Cerberus木馬還可以截取用戶手機屏幕，電話呼叫轉移，獲取用戶銀行賬號、密碼等惡意操作，并可以通過Team Viewe進行遠控。

　　SMS蠕蟲

　　樣本運行后，會打開在線口罩購買平臺https[:]//masksbox[.]com，嘗試竊取用戶購買時輸入的卡號和密碼。

　　同時，該惡意程序還會以SMS短信的方式將自己傳播給通訊錄上的所有人。短信內容為：Get safety from corona virus by using Facemask, click on this link download the app and order your own face mask – http[:]//coronasafetymask[.]tk

　　手機勒索軟件

　　該勒索木馬跟一般勒索病毒一樣，運行后誘騙用戶激活設備管理器，之后強制對用戶手機進行鎖屏，并修改用戶手機解鎖密碼，同時對用戶進行勒索。勒索軟件威脅要在48小時之內索要100美元的比特幣，否則會刪除用戶手機個人信息

　　該樣本將解鎖密碼硬編碼在樣本中，若不小心中招，可通過輸入“4865083501“進行解鎖

　　各類特殊文件格式

　　奇安信紅雨滴團隊捕獲的樣本集中，除了常見的文件格式外，還捕獲幾例特殊文件格式樣本，如SLK,CHM等，此類樣本通過也是通過社交媒體或郵件進行傳播，但基于公開信息未捕獲其傳播油價，故將此類樣本單獨闡述

　　SLK

　　近期，意大利疫情出現大爆發，隨之而來的網絡攻擊活動也越演越烈，奇安信紅雨滴團隊捕獲一例利用特殊格式(slk)在意大利傳播的惡意樣本。

　　SymbolicLink (Slk)是一種Microsoft文件格式，通常用于Excel表格更新數據，黑客利用這一特性將惡意的powershell代碼添加其中，當用Excel打開文件時，惡意代碼將被執行起來。由于這類格式不常見，所以具有一定程度的免殺效果。

　　CHM

　　CHM(Compiled HelpManual)即“已編譯的幫助文件”。是微軟新一代的幫助文件格式，利用HTML作源文，把幫助內容以類似數據庫的形式編譯儲存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、常見圖形文件(GIF、JPEG、PNG)、音頻視頻文件(MID、WAV、AVI)等等。所以在大多數人眼中，CHM等同于電子書，是沒有危害的軟件。

　　LNK

　　LNK是MicrosoftWindows用于指向可執行文件或應用程序的快捷方式文件的文件擴展名。LNK文件通常用于創建開始菜單和桌面快捷方式。LNK代表LiNK。LNK文件可以通過更改圖標偽裝成合法文檔。

　　惡意腳本類

　　JAR

　　JAR文件是在安裝了JRE等JAVA運行環境的操作系統上能直接運行的可執行程序。由于JAVA具有跨平臺的特性，所以這類文件可以在安裝了JAVA運行時庫的大部分操作系統上運行，包括Windows、Linux、macOSX、Android。