按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

網路攻擊者以武漢肺炎名義散發電子郵件,意圖傳播惡意檔案

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:7996
網路攻擊者以武漢肺炎名義散發電子郵件,意圖傳播惡意檔案 TWCERT/CC

當疫情感染爆發後,就有網路攻擊者藉此混亂時機,利用武漢肺炎名義的電郵,傳播惡意巨集檔案,主要是 Emotet類型的惡意巨集。

類似的Emotet惡意巨集電郵,採用日文訊息內容,標題多半與「武漢肺炎」的相關文字有關(Corona Virus,或是China Virus)整封電郵均改用日文撰寫,並在信件中提及其附件為政府相關衛生單位所提供之新型冠狀病毒防疫措施,以此誘使使用者開啟附件。而當使用者開啟該附件後,該檔案內含與惡意程式Emotet的連結,造成使用者的相關資料,例如憑證、瀏覽紀錄或其他文件都可能遭到惡意程式竊取。

而駭客之所以在現階段將目標設於日本,主要是由於日本日前武漢肺炎疫情嚴重,因此在民眾對新型冠狀病毒的恐慌下,駭客便容易透過關鍵字促使使用者點擊和受騙上當。這也顯示該電郵是鎖定疫情嚴重地區進行傳播,以達到較高的詐騙率。因此,不僅止於一般民眾,許多日本企業也成為該攻擊的受害者。然而,當各地區疫情也逐漸浮現後,駭客亦有可能針對其他地區進行類似的攻擊。

建議如果有下列情況發生,請勿開啟電郵:

(1)電郵標題為英文 Corona Virus 或是中文、日文的武漢肺炎開頭,並且有附帶附件檔案,為Office系列檔案,Word或Excel。

(2)電郵標題類似(1)但是沒有電郵附件檔案,而是內含URL網址,需要點選該網址,以下載檔案。

以上兩種情況,為目前最為普遍的惡意巨集(假借武漢肺炎相關通知)的攻擊方式,請勿開啟此類電子郵件。

若不慎開啟此類電郵,還不一定會感染Emotet惡意巨集,必須再點選附件檔案或是URL網址。因此,只要謹慎處理此類電郵,無需太過緊張。

由於Emotet惡意巨集,會觸發下載程序(Downloader)並可能進一步引發APT後續攻擊,或是安裝Trojan或Ransomware。若不慎點選此類電郵的附件檔案或URL網址,請勿驚慌。依據網路封包分析協會的建議,按照下列原則,進行處理。

(A)備份檔案,除了自己建立的Office文件與圖片影片檔案之外,其餘檔案均不要備份。

(B)找出異常通訊程序,按照網路封包分析協會的NSPA封包技巧,使用各種封包分析工具,檢視電腦主機有無下列異常通訊行為:

(1)沒有開啟網頁瀏覽器、FTP工具、電郵程式,卻發現有通訊連接到外部HTTP, HTTPS, FTP, SMTP網路行為(根據NSPA分析技巧,請排除System Update, App.Update, AV Update)

(2)罕見的DNS查詢內容,特別有超長網域名稱、Onion.pet或Onion.io的洋蔥橋接域名。

(3)週期性、間歇性的網址連接行為,特別是RST封包後,又發生Retry的反覆嘗試連線行為,持續進行。

(4)開啟電郵後,產生明顯HTTP下載檔案的通訊行為。

(5)Emotet多半會於惡意巨集開啟時,進行C&C通訊行為。因此,檢查內部網路有無類似C2通訊行為,亦為重點之一。

也可以錄製網路封包,觀察有無(1) (2) (3)等異常行為。或是將網路封包檔案,郵寄傳送到網路封包分析協會查驗有無異常。

Emotet惡意巨集,可能會導致內部網路被駭,或是電腦主機被加密勒索。這段期間,請小心謹慎 Corona Virus 或類似中文標題電郵。進一步技術範例,請參考網路封包分析協會網站相關資料,https://www.nspa-cert-tw.org/。

不僅如此,也有詐騙網站藉此機會想賺一筆。該網站聲稱他們是來自澳洲國立大學的團隊,並研發出了首個新型冠狀病毒的疫苗,首頁還使用了美國國家實驗室的照片。根據專家的說法,真正的疫苗還需數個月的研製時間。最近針對武漢肺炎或新型冠狀病毒等電子信件請務必小心因應,避免成為受駭者。

回頁首