當前,全民乃至全球都在開(kāi)展新型冠狀病毒的攻堅戰疫,然而不曾想,一款木馬病毒,披上防控“新冠病毒”的外衣后,開(kāi)始向航運企業(yè)的網(wǎng)絡(luò )進(jìn)行黑客攻擊,并正在快速擴散。

近日,360安全衛士發(fā)出通知,稱(chēng)其全球首家攔截到了以“冠狀病毒”為主題的釣魚(yú)活動(dòng),該網(wǎng)絡(luò )攻擊行動(dòng)主要瞄準大型航運公司,并定向擴散商業(yè)間諜木馬病毒“HawkEye Keylogger 10.0”,監控并竊取多種有價(jià)值的數據,包括電腦上的賬號密碼、鍵盤(pán)記錄、屏幕截圖、攝像頭、剪切板等。

經(jīng)分析發(fā)現,該商業(yè)間諜木馬“HawkEye Keylogger 10.0”又稱(chēng)“鷹眼鍵盤(pán)記錄器”,國內外已有大批航運企業(yè)不幸感染。 這款“鷹眼”惡意木馬軟件,此次打著(zhù)“新冠病毒”的旗號針對航運業(yè)的網(wǎng)絡(luò )攻擊,主要通過(guò)3個(gè)伎倆來(lái)實(shí)現,我們來(lái)具體看看這3個(gè)伎倆。

伎倆一:

冒充“新冠病毒”防控郵件 誘導用戶(hù)點(diǎn)擊運行

據悉,此次的“HawkEye Keylogger 10.0”木馬病毒,主要利用釣魚(yú)郵件的方式傳播擴散。不法分子將暗藏惡意代碼的表格文檔“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”發(fā)送至目標人群郵箱。

而該文檔名翻譯成中文即為“冠狀病毒影響船員和輪船航運”,在新冠疫情防控的當下,極具誘導性,操作者很容易受誘導打開(kāi)惡意文檔。而一旦打開(kāi),界面又會(huì )顯示一個(gè)帶有安全警告的宏禁用提示,再一次誘導用戶(hù)點(diǎn)擊運行。

一旦用戶(hù)點(diǎn)擊運行x這款木馬病毒就將竊取設備上的信息。

此外,該“鷹眼”惡意軟件,也可以作為加載器,利用其僵尸網(wǎng)絡(luò )幫助第三方威脅行為者將其他惡意軟件加載至該設備。

伎倆二:

鉆office漏洞,強行嵌入惡意代碼

據悉,如果“鷹眼”惡意軟件使用郵件誘導用戶(hù)的伎倆沒(méi)有成功,那么接下來(lái),它就會(huì )通過(guò)經(jīng)典的office公式編輯器漏洞(CVE-2017-11882),讓文檔攜帶的惡意代碼在用戶(hù)電腦中自動(dòng)運行。

這一步一旦成功后,將下載解密木馬核心模塊“Hawk Eye Keylogger”,并根據資源中的加密配置,將信息回傳給遠程ESMTP服務(wù)器,具體地址為“mail.novaa-ship.com”,而發(fā)送郵件所使用的賬號則為“armani@novaa-ship.com”(阿瑪尼)。

伎倆三:

偽裝成航運巨頭的企業(yè)域名

除了上述兩個(gè)伎倆,還發(fā)現冒充航運巨頭企業(yè)的域名,也是這款“鷹眼”惡意軟件的常用手段,比如新加坡Nova航運公司官方域名就被該惡意軟件冒用,其通過(guò)在“nova”域名后增加字母 “a”,用以迷惑客戶(hù)和用戶(hù)。

此外,最近英國某知名航運公司的計算機也遭受到未經(jīng)授權的網(wǎng)絡(luò )入侵,導致整個(gè)預防系統措施淪陷。

在遭遇網(wǎng)絡(luò )侵襲后,該公司立即采取了防御措施,并調派外部專(zhuān)家、網(wǎng)絡(luò )安全專(zhuān)家,努力盡快完成恢復工作,將黑客攻擊對航運業(yè)務(wù)的影響降到最低。

網(wǎng)絡(luò )攻擊將給航運企業(yè)帶來(lái)巨大損失,我們還記得馬士基集團2017年遭受的網(wǎng)絡(luò )攻擊,當時(shí)馬士基集團的的港口和航運業(yè)務(wù)受到全面影響,持續時(shí)間長(cháng)達兩周,馬士基直接損失了近3億美元。

據悉,目前該“鷹眼”惡意木馬軟件正打著(zhù)“新冠病毒”的旗號快速擴散,并向國際商業(yè)范疇蔓延,攻擊對象包括航運業(yè)在內的整個(gè)國際貿易網(wǎng)絡(luò )。 所以提醒航運企業(yè),在全力防控新冠疫情的同時(shí),還要警惕不法分子冒用“新冠病毒”旗號欺騙攻擊,要做好郵件甄別,筑牢網(wǎng)絡(luò )安防堡壘。在針對這場(chǎng)新冠病毒的戰疫中,既確保人員安全,又確保網(wǎng)絡(luò )安全。