網絡攻擊者趁疫情作亂的六大損招

Dan Swinhoe

雖然企業組織可以采取諸多措施來確保員工安全地遠程辦公，但形形色色的威脅分子已經在趁疫情危機大肆作亂。攻擊者在加大力度，通過以新冠疫情為主題的電子郵件、應用程序、網站和社交媒體來傳播惡意軟件。本文細述了威脅分子用來攻擊企業組織的潛在威脅途徑和手法。

1.網絡釣魚電子郵件

電子郵件是個人和組織面臨的頭號威脅途徑，將來也會如此。網絡犯罪分子長期以來利用全球事件實施網絡釣魚活動以提高命中率，新冠疫情也不例外。

網絡安全公司Digital Shadows聲稱，暗網市場正在使用電子郵件附件來兜售新冠疫情網絡釣魚工具，該附件被偽裝成新冠病毒爆發分布圖，售價從200美元到700美元不等。

這些電子郵件的主題形形色色：從特定行業的分析師報告、官方政府健康建議的詳細信息、提供口罩的賣家，到非常時期運營和物流方面的其他信息，不一而足。這些電子郵件中含有的攻擊載荷包括勒索軟件、鍵盤記錄程序、遠程訪問木馬和竊取信息的工具等。

Proofpoint的威脅研究和檢測高級主管Sherrod DeGrippo說：“我們的威脅研究團隊已觀察到無數的新冠疫情惡意電子郵件活動，許多活動利用恐慌來說服潛在的受害者點擊郵件。犯罪分子發送大批的電子郵件，每次數量從十幾封到2萬多封不等，這股勢頭呈上升趨勢。最初我們每天全球范圍內看到大概一起活動，現在每天看到三四起。”

DeGrippo說，Proofpoint的安全團隊發現的電子郵件中70%左右在傳遞惡意軟件，其余大多數旨在通過Gmail或Office 365等虛假的登錄頁面竊取受害者的登錄信息。Proofpoint聲稱，與新冠疫情有關的電子郵件誘餌的累積總量現在是該公司迄今為止見過的由單一主題聯合而成的最龐大的攻擊類型。

NCSC、世界衛生組織（WHO）及其他組織已公開發布警告，防范佯稱來自官方機構的虛假電子郵件。聲稱來自疾病控制和預防中心（CDC）的各種網絡釣魚郵件一直在到處流傳。

BAE Systems聲稱，發送以新冠疫情為主題的電子郵件的威脅組織包括：攻擊印度政府的Transparent Tribe（又叫APT36）、與俄羅斯有關聯的Sandworm/OlympicDestroyer和Gamaredon團伙等。

2.惡意應用程序

雖然蘋果在其App Store中對與新冠疫情有關的應用程序作了限制，谷歌從Play商店刪除了一些應用程序，但惡意應用程序仍可能對用戶構成威脅。 DomainTools發現的個別網站敦促用戶下載一款Android應用程序，該應用程序提供了有關新冠疫情的跟蹤和統計信息，包括熱圖。然而，該應用程序實際上隱藏著攻擊Android的勒索軟件（現名為COVIDLock）。勒索信要求在48小時內支付100美元的比特幣;若不支付，揚言要清除聯系人資料、照片和視頻以及手機內存中的數據。據稱已發現了解鎖令牌。

DomainTools聲稱，與新冠疫情有關的域名以前用于分發與色情有關的惡意軟件。DomainTools的高級安全工程師兼惡意軟件研究員Tarik Saleh在博文中說：“這種攻擊活動由來已久，表明這個新冠疫情騙局是該惡意軟件的幕后主使采取的一項新舉措和新嘗試。”

Proofpoint還發現一起攻擊活動要求用戶像SETI@Home項目那樣捐贈計算能力，不過專門用于新冠疫情研究，結果卻發現實際上通過BitBucket傳播了竊取信息的惡意軟件。

3.惡意域名

傳播新冠疫情信息的新網站正迅速冒出來。然而，其中許多網站也會是毫無戒心的受害者的陷阱。Recorded Future聲稱，過去幾周每天都有數百個與新冠疫情有關的域名被注冊。Checkpoint建議，與新冠疫情有關的域名是惡意域名的可能性比同期注冊的其他域名高出50%。

NCSC聲稱，一些虛假網站冒充美國疾病控制中心（CDC），并創建類似CDC官方網址的域名，要求“密碼和資助虛假疫苗的比特幣捐款”。

Reason Security和Malwarebytes都報告了一個新冠疫情熱圖網站用于傳播惡意軟件。該網站隱藏著AZORult惡意軟件，可竊取登錄信息、支付卡號、cookie及其他基于瀏覽器的敏感數據，并將這些信息上傳至一臺指揮和控制服務器。該惡意軟件還尋找加密貨幣錢包，未經授權獲取屏幕截圖，并從被感染的機器收集設備信息。

4.不安全的端點和最終用戶

由于大量員工、甚至整個公司的員工長時期遠程辦公，端點及使用端口的人員帶來的風險隨之增加。如果員工沒有定期更新系統，則其在家使用的設備會變得更岌岌可危。

長時間在家辦公還可能鼓勵用戶將影子應用程序下載到設備上，或無視他們在辦公室通常會遵守的政策。減少出差可能減小了員工在邊境遇到安全問題的機會，但如果他們實際上待在家里，這只是減小了連接到不安全的WiFi網絡或丟失設備的威脅。那些外出在咖啡館辦公的人（一些人也許會這樣）可能仍很容易遇到設備盜竊或丟失（即中間人攻擊）。

國際信息技術資產管理者協會建議注銷并跟蹤帶回家的所有IT資產;企業應下達政策和建議，明確如何在家使用IT資產（如果人們習慣與家人共享設備更是如此），提醒用戶遵守連接到公共WiFi方面的政策，并確保他們根據需要不斷更新軟件。

5.供應商和第三方的漏洞

企業生態系統中的每個合作伙伴、客戶和服務提供商都可能遇到與企業同樣的所有問題。要與企業的第三方生態系統的重要成員保持聯絡，確保他們在采取措施，為遠程員工隊伍確保安全。

6.攻擊醫療機構

在過去幾天中，美國伊利諾伊州公共衛生部門官網遭到勒索軟件的攻擊，而美國衛生和福利部（HHS）也遭到了未遂的DDoS攻擊。規模不一的醫療機構可能比平時受到更大的壓力，這可能是工作人員對點擊的內容比較松懈。

伺機作案的犯罪分子或企圖破壞業務運營的不法分子更有可能將矛頭對準醫療部門。醫療部門的CISO或為醫療部門服務的CISO應提醒工作人員對可疑的鏈接和文件保持警惕，確保業務系統可抵御DDoS攻擊。

大規模遠程辦公的安全優先事項

比特梵德公司的全球網絡安全研究人員Liviu Arsene建議企業組織采取以下步驟，以確保安全穩定的遠程辦公：

· 增加并發VPN連接的數量，以容納所有遠程員工。

· 安裝并支持會議軟件，以確保穩定的語音連接和視頻連接。

· 確保所有員工都有有效的登錄信息，不會在30天內過期，因為遠程辦公時更改過期的Active Directory登錄信息可能很困難。

· 下達已接受的應用程序和協作平臺方面的規定和準則，以便員工知道哪些得到批準和支持、哪些沒有。

· 為部署更新制定逐步部署程序，因為同時將所有更新發給通過VPN連接的員工可能造成帶寬擁塞，并影響進出的流量。

· 為所有端點啟用磁盤加密，以減小中招設備上數據丟失的風險。

作者簡介：Dan Swinhoe是《CSO Online》雜志的英國編輯。

原文網址

https：//www.csoonline.com/article/3532825/6-ways-attackers-are-exploiting-the-covid-19-crisis.html