當(dāng)前,全民乃至全球都在開展新型冠狀病毒的攻堅戰(zhàn)疫,然而不曾想,一款木馬病毒,披上防控“新冠病毒”的外衣后,開始向航運(yùn)企業(yè)的網(wǎng)絡(luò)進(jìn)行黑客攻擊,并正在快速擴(kuò)散。

近日,360安全衛(wèi)士發(fā)出通知,稱其全球首家攔截到了以“冠狀病毒”為主題的釣魚活動,該網(wǎng)絡(luò)攻擊行動主要瞄準(zhǔn)大型航運(yùn)公司,并定向擴(kuò)散商業(yè)間諜木馬病毒“HawkEye Keylogger 10.0”,監(jiān)控并竊取多種有價值的數(shù)據(jù),包括電腦上的賬號密碼、鍵盤記錄、屏幕截圖、攝像頭、剪切板等。

經(jīng)分析發(fā)現(xiàn),該商業(yè)間諜木馬“HawkEye Keylogger 10.0”又稱“鷹眼鍵盤記錄器”,國內(nèi)外已有大批航運(yùn)企業(yè)不幸感染。 這款“鷹眼”惡意木馬軟件,此次打著“新冠病毒”的旗號針對航運(yùn)業(yè)的網(wǎng)絡(luò)攻擊,主要通過3個伎倆來實現(xiàn),我們來具體看看這3個伎倆。

伎倆一:

冒充“新冠病毒”防控郵件 誘導(dǎo)用戶點(diǎn)擊運(yùn)行

據(jù)悉,此次的“HawkEye Keylogger 10.0”木馬病毒,主要利用釣魚郵件的方式傳播擴(kuò)散。不法分子將暗藏惡意代碼的表格文檔“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”發(fā)送至目標(biāo)人群郵箱。

而該文檔名翻譯成中文即為“冠狀病毒影響船員和輪船航運(yùn)”,在新冠疫情防控的當(dāng)下,極具誘導(dǎo)性,操作者很容易受誘導(dǎo)打開惡意文檔。而一旦打開,界面又會顯示一個帶有安全警告的宏禁用提示,再一次誘導(dǎo)用戶點(diǎn)擊運(yùn)行。

一旦用戶點(diǎn)擊運(yùn)行x這款木馬病毒就將竊取設(shè)備上的信息。

此外,該“鷹眼”惡意軟件,也可以作為加載器,利用其僵尸網(wǎng)絡(luò)幫助第三方威脅行為者將其他惡意軟件加載至該設(shè)備。

伎倆二:

鉆office漏洞,強(qiáng)行嵌入惡意代碼

據(jù)悉,如果“鷹眼”惡意軟件使用郵件誘導(dǎo)用戶的伎倆沒有成功,那么接下來,它就會通過經(jīng)典的office公式編輯器漏洞(CVE-2017-11882),讓文檔攜帶的惡意代碼在用戶電腦中自動運(yùn)行。

這一步一旦成功后,將下載解密木馬核心模塊“Hawk Eye Keylogger”,并根據(jù)資源中的加密配置,將信息回傳給遠(yuǎn)程ESMTP服務(wù)器,具體地址為“mail.novaa-ship.com”,而發(fā)送郵件所使用的賬號則為“armani@novaa-ship.com”(阿瑪尼)。

伎倆三:

偽裝成航運(yùn)巨頭的企業(yè)域名

除了上述兩個伎倆,還發(fā)現(xiàn)冒充航運(yùn)巨頭企業(yè)的域名,也是這款“鷹眼”惡意軟件的常用手段,比如新加坡Nova航運(yùn)公司官方域名就被該惡意軟件冒用,其通過在“nova”域名后增加字母 “a”,用以迷惑客戶和用戶。

此外,最近英國某知名航運(yùn)公司的計算機(jī)也遭受到未經(jīng)授權(quán)的網(wǎng)絡(luò)入侵,導(dǎo)致整個預(yù)防系統(tǒng)措施淪陷。

在遭遇網(wǎng)絡(luò)侵襲后,該公司立即采取了防御措施,并調(diào)派外部專家、網(wǎng)絡(luò)安全專家,努力盡快完成恢復(fù)工作,將黑客攻擊對航運(yùn)業(yè)務(wù)的影響降到最低。

網(wǎng)絡(luò)攻擊將給航運(yùn)企業(yè)帶來巨大損失,我們還記得馬士基集團(tuán)2017年遭受的網(wǎng)絡(luò)攻擊,當(dāng)時馬士基集團(tuán)的的港口和航運(yùn)業(yè)務(wù)受到全面影響,持續(xù)時間長達(dá)兩周,馬士基直接損失了近3億美元。

據(jù)悉,目前該“鷹眼”惡意木馬軟件正打著“新冠病毒”的旗號快速擴(kuò)散,并向國際商業(yè)范疇蔓延,攻擊對象包括航運(yùn)業(yè)在內(nèi)的整個國際貿(mào)易網(wǎng)絡(luò)。 所以提醒航運(yùn)企業(yè),在全力防控新冠疫情的同時,還要警惕不法分子冒用“新冠病毒”旗號欺騙攻擊,要做好郵件甄別,筑牢網(wǎng)絡(luò)安防堡壘。在針對這場新冠病毒的戰(zhàn)疫中,既確保人員安全,又確保網(wǎng)絡(luò)安全。