九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

留神，你收到的疫情相关邮件可能是病毒攻击

2020-02-21

小心！黑客已将疫情信息融入到互联网黑产攻击链和工业链，对疫情信息关注者发动攻击。

自新型冠状病毒熏染的肺炎疫情爆发以来，九游老哥科技高度关注不法分子使用疫情话题提倡的黑客攻击。通过对近期网络威胁行为的跟踪与剖析，九游老哥科技伏影实验室发明在经由一段时间的试探历程后，黑客已将新型冠状病毒肺炎疫情信息融入到互联网黑产攻击链和工业链当中，对疫情信息关注者发动攻击。

行骗套路一：鱼叉邮件

鱼叉邮件是黑客攻击历程中社会工程学的主要体现，因此攻击者通�；崞局な笔菩挛鸥掠悴嬗始挠斩畔⒛谌�。此次新冠肺炎疫情显然给攻击者提供了借题施展的平台。九游老哥科技发明，近期已有主流恶意邮件撒播的木马家族在诱饵内容中加入了疫情相关信息，借此增添邮件诱饵的可信度。

案例一

假借疫情放假信息，FormBook木马发动鱼叉邮件攻击

九游老哥科技近期捕获了FormBook木马使用肺炎疫情提倡的攻击事务。该起攻击事务中，攻击者将疫情信息融入鱼叉邮件诱饵中，设计了诱骗度极高的社工内容，借此攻击罗马尼亚的无邪车制造商。

该诱饵邮件内容如下：

九游老哥·(中国)俱乐部官方网站

在全心结构的社工邮件内容中，攻击者伪装为企业员工，鞭策邮件吸收者尽快检查附件内容并回复。为提高可信度，邮件中声称该由于受新冠肺炎疫情影响，该公司将放假延伸到2月9日，并延期至2月10日复工（Because of the infflience of coronavirus, our holiday has been extended to 9th Feb, we will return to work fully on the 10th Feb）。从邮件内容来看，攻击者对疫情时势较为相识，可能是有组织的黑客整体。

附件文件REQUEST1.iso

该邮件的恶意载荷包括两层伪装。光盘镜像文件REQUEST1.iso中包括一个屏幕�；の募㧟o2.scr，现实为恶意的PE可执行文件：

九游老哥·(中国)俱乐部官方网站

混淆外壳co2.scr

co2.scr是.net外壳程序，混淆了函数名、函数内容以及代码逻辑，用来滋扰杀毒引擎和剖析软件的剖析：

九游老哥·(中国)俱乐部官方网站

对该程序脱壳后，可以获取第二层载荷PLxHldNnIKOb.exe

加载器PLxHldNnIKOb.exe

PLxHldNnIKOb.exe是Dropper程序，将自身资源段中携带的二进制文件解密并使用指定方法加载运行。凭证设置的差别，该程序支持以下恶意行为：

九游老哥·(中国)俱乐部官方网站

该程序使用隔位异或的方法解密资源段内容，解密键为OOmmuoPtHAHiIjANYoKqZhYfb：

九游老哥·(中国)俱乐部官方网站

凭证设置，PLxHldNnIKOb.exe程序运行后会将最终载荷hRNfZekS加载至内存执行。

最终载荷hRNfZekS

Dropper文件释放运行的最终载荷是新版本的FormBook木马程序，毗连C&C为www.4my.fans。FormBook是一款多功效木马，主要用于窃取用户主机信息或作为跳板下载执行其他恶意程序。

FormBook木马有高度对抗行为，会通过建设傀儡历程，反向注入等行为将注入行为重大化。受C&C指令控制，FormBook木马可以执行以下行为：

九游老哥·(中国)俱乐部官方网站

案例小结：FormBook是有较长历史的木马程序，被国际上多个黑客组织大宗使用。现在，搭载FormBook的鱼叉邮件已成为对邮件使用者的主要威胁种类之一。该起借助冠状病毒信息的鱼叉邮件攻击事务批注，黑客组织对攻击流程中载荷投递阶段的设计十分重视，更新速率快，诱饵质量高。邮件用户切不可因邮件内容的高可信度而麻木大意，应审慎看待邮件附件，不运行未知程序，将可疑文件交由清静职员处置惩罚。

案例二

Emotet木马来袭，黑客伪装成日本各县市的保健所宣布邮件

随着疫情的生长，同属于着名邮件木马的Emotet木马家族，近期也使用包括新冠肺炎疫情信息的邮件在日本举行撒播。这些针对日本的鱼叉邮件，发件者普遍伪装为日本各县市的保健所，邮件内容在强调新冠肺炎疫情的同时，要求收件者翻开附件中的“对策”或“通知”文件。

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

doc文档载荷

这些邮件附带的doc文档，显示社工内容诱骗用户运行内置的vba剧本，该vba剧本会运行powershell下令，装置Emotet木马程序。

九游老哥·(中国)俱乐部官方网站

Emotet木马

Emotet家族属于银行木马，泛起于2014年，主要以垃圾邮件形式撒播，熏染Windows主机后并偷取用户邮箱来获得主要小我私家财务信息。近年来，Emotet在多起事务中被发明最先用于撒播其他恶意家族，涉及银行木马、DDoS和勒索等。

Emotet撒播的其它部分恶意家族分类如下表所示：

九游老哥·(中国)俱乐部官方网站

有信息显示，Emotet木马主要受黑客组织Mealybug使用，从2014年最先维护Emotet代码并睁开多次攻击。该使用疫情信息撒播的邮件中搭载的Emotet木马是该家族的最新版本，标记为Emotet_Doc_Downloader_C，在doc类型恶意文件中很是多见：

九游老哥·(中国)俱乐部官方网站

案例小结：这起攻击事务批注，Emotet成为恶意邮件撒播的主要木马家族绝非无意。无论是攻击时间（最早泛起在1月尾）照旧诱饵质量（保健所名称和联系方法属实），Emotet都走在了恶意邮件家族的前线。通俗邮件用户在接触到外文类型的邮件时，应默认凭证恶意邮件来举行处置惩罚，万万不要一时好奇，被攻击者所使用。

行骗套路二、热门名称的恶意程序

除鱼叉邮件外，部分攻击者也会使用热门要害词作为文件名称，投递恶意程序举行攻击。部分恶意程序名称与主要功效见下表：

九游老哥·(中国)俱乐部官方网站

这些程序大多是数据扫除程序或远控木马，使用热门事务举行简朴的社会工程学加工，属于愿者中计型。

清静总结：通过正规渠道获取疫情相关信息，阻止因猎奇心理导致装备中招。

新型冠状病毒肺炎疫情的爆发，给黑客们提供了绝佳的社会工程学质料，小到小我私家大到组织，纷纷使用本次事务扩大武器的攻击面。

近期，许多寻常接触网络较少的用户最先在互联网渠道获守信息，这些群体缺乏对信息的基本判别能力，难以准确识别和阻截这些恶意软件。因此我们建议，一定要通过正规渠道获取疫情相关信息，阻止因猎奇心理导致装备中招。

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站
九游老哥科技伏影实验室专注于清静威胁研究与监测手艺，包括但不限于威胁识别手艺，威胁跟踪手艺，威胁捕获手艺，威胁主体识别手艺。研究目的包括：僵尸网络威胁，DDOS对抗，WEB对抗，盛行服务系统懦弱使用威胁、身份认证威胁，数字资产威胁，玄色工业威胁及新兴威胁。通过掌控现网威胁来识别危害，缓解威胁危险，为威胁对抗提供决议支持。

<<上一篇

RSA 立异沙盒盘货| Obsidian——能为SaaS应用程序提供清静防护云检测与响应平台

>>下一篇

刚刚，九游老哥云针对Apache Tomcat文件包括误差的在线检测正式上线

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号