校内各单位及校园网用户:
1月29日,奇安信发布紧急通报,奇安信病毒响应中心和奇安信CERT的技术人员发现多起利用新型冠状病毒感染的肺炎疫情相关热词开展的攻击行动。他们监测到一些黑客组织正在制造并大肆传播一系列电脑版病毒,这些病毒均带有“冠状病毒”、“疫情”、“武汉”等热门字样。这些病毒可导致电脑声音被窃听,文件被窃取,一些版本的病毒还会删除操作系统核心文件导致无法开机。目前,该系列病毒正通过社交网络悄然蔓延。 奇安信网络安全工程师详细介绍了三类比较典型的电脑版“新型冠状病毒”:
新冠病毒一:远程控制 窃取文件
网络安全工程师分析发现,该系列中一款被黑客组织命名为“冠状病毒”的电脑病毒,释放并启动了正规的商业远程控制软件TeamViewer,因此躲避了市面上绝大多数杀毒软件的查杀。通过获取窗口的账号和口令,发送到黑客服务器,从而达成远程控制的目的。
该病毒完全继承了TeamViewer强大的远程控制能力。该病毒可突破绝大多数防火墙到达内部网络,可在后台悄悄控制键盘、鼠标、监视电脑屏幕、窃听电脑声音,观看视频以及发送电脑上的任意文件,甚至可实现远程开关机。
新冠病毒二:删除文件 电脑变砖
除了常规网络攻击,该系列病毒中还有一些会发动更加恶劣的攻击行为。比如一款名为“冠状病毒.exe”的可执行文件,启动之后其会删除所有注册表,以及C、D盘文件,这将导致电脑无法开机,重要数据丢失。
新冠病毒三:黑产不休 变招作祟
“除此之外,在我们监控的黑产团伙‘金X狗’中也发现了利用新冠肺炎作为诱饵的样本”,奇安信威胁情报中心负责人汪列军介绍,此前奇安信威胁情报中心独家披露的零零狗黑客团伙也参与了此次攻击行动。经过分析,类似攻击手段曾被用在利用裸贷照片病毒的攻击活动。 通过热点事件、热门词汇制造“诱饵”,并以此发起攻击是黑客组织的惯用伎俩。奇安信CERT的安全团队在监测中发现,社交网络成为该病毒传播的主要渠道,该黑产团伙使用的病毒会伪装成“冠状病毒”、“逃离武汉”“双重预防机制”、“新型冠状病毒预防通知”等诱饵词汇,利用人们高度关注、渴求获得相关信息的心理,诱导电脑用户下载并将其打开。
目前,奇安信全系产品包括天眼、NGSOC/态势感知、智慧防火墙等均已基于威胁情报支持对相关攻击的检测,天擎终端安全产品支持对此类威胁的直接查杀。请各单位加强防范,发现可以情况及时向网络管理中心反映,以便及时防控。
详情可参考:奇安信发布黑客利用新冠肺炎疫情开展网络攻击案例
http://m.xinhua08.com/article/124225?from=groupmessagehttp://m.xinhua08.com/article/124225?from=groupmessage
网络管理中心
2020年2月4日
