2 月 5 日消息，據(jù)“ 360 安全衛(wèi)士”微信號(hào)發(fā)布的消息，近日， 360 安全大腦捕獲了一例利用新冠肺炎疫情相關(guān)題材投遞的攻擊案例，攻擊者利用肺炎疫情相關(guān)題材作為誘餌文檔，對(duì)抗擊疫情的醫(yī)療工作領(lǐng)域發(fā)動(dòng)APT攻擊。

據(jù)介紹，該攻擊組織使用采用魚叉式釣魚攻擊方式，通過(guò)郵件進(jìn)行投遞。公然利用當(dāng)前肺炎疫情等相關(guān)題材作為誘餌文檔，部分相關(guān)誘餌文檔如：武漢旅行信息收集申請(qǐng)表.xlsm，進(jìn)而通過(guò)相關(guān)提示誘導(dǎo)受害者執(zhí)行宏命令。

簡(jiǎn)單說(shuō)，攻擊者其將關(guān)鍵數(shù)據(jù)存在worksheet里，worksheet被加密，宏代碼里面使用key去解密然后取數(shù)據(jù)。然而其用于解密數(shù)據(jù)的Key為：nhc_gover，而nhc正是中華人民共和國(guó)國(guó)家衛(wèi)生健康委員會(huì)的英文縮寫。

這里一旦宏命令被執(zhí)行，攻擊者就能訪問(wèn)hxxp：//45.xxx.xxx.xx/window.sct，并使用scrobj.dll遠(yuǎn)程執(zhí)行Sct文件，這是一種利用INF?Script下載執(zhí)行腳本的技術(shù)。

據(jù)悉，該印度APT組織的攻擊目標(biāo)主要為：中國(guó)、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，其中以竊取敏感信息為主。而且在對(duì)中國(guó)地區(qū)的攻擊中，主要針對(duì)政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊，尤其以科研教育領(lǐng)域?yàn)橹鳌?/p>

為什么印度APT組織卻如此喪盡天良的對(duì)我國(guó)醫(yī)療機(jī)構(gòu)發(fā)動(dòng)定向攻擊? 360 方面猜測(cè)稱：第一， 它們?yōu)榱双@取最新最前沿的醫(yī)療新技術(shù)。這與該印度APT組織的攻擊重點(diǎn)一直在科研教育領(lǐng)域有著莫大關(guān)系;第二， 它們?yōu)榱诉M(jìn)一步截取醫(yī)療設(shè)備數(shù)據(jù)。為打贏這場(chǎng)異常艱難的疫情之戰(zhàn)，我國(guó)投入了重大的人力、物力、財(cái)力資源，其中尤其在醫(yī)療設(shè)備上更是重點(diǎn)，所以該組織此次發(fā)動(dòng)攻擊，能進(jìn)一步截取我國(guó)更多的醫(yī)療設(shè)備數(shù)據(jù)信息;

第三， 擾亂中國(guó)的穩(wěn)定，制造更多的恐怖。疫情面前，不僅是一場(chǎng)與生物病毒的戰(zhàn)役，更是一場(chǎng)民心之戰(zhàn)，只有民心定了，才能保證社會(huì)的穩(wěn)定。而該組織在此次發(fā)動(dòng)攻擊，無(wú)疑給疫情制造了更多的恐慌，恐嚇之中，進(jìn)行擾亂社會(huì)的穩(wěn)定。