瑞星：黑客利用“新冠肺炎”为饵进行APT攻击 供应链威胁升级

1月14日，国家信息中心联合瑞星公司共同发布《2020年中国网络安全报告》（以下简称《报告》），针对恶意软件、恶意网址、移动安全、企业安全等领域作出详尽分析，并对未来网络安全趋势提出建设性观点。

“新冠肺炎”成网络钓鱼诱饵

2020年是“新冠肺炎”全球大面积爆发的一年，国内外不少黑客、APT组织利用“肺炎”“疫情”等相关题材作为诱饵，对一些政府、教育、卫生等机构发起钓鱼攻击。《报告》解读了包括DTLMiner病毒利用新冠疫情为题材传播、APT组织“Sidewinder”利用防疫题材对高校发起攻击、APT组织“OceanLotus”利用疫情相关信息投递后门在内的多起网络攻击事件。其中，通过DTLMiner挖矿木马向目标投递和COVID-19新冠病毒疫情相关的钓鱼邮件的方式，诱使用户打开恶意的邮件附件，当受害者打开了钓鱼邮件中的恶意文档后，进而将会访问恶意链接下载脚本并执行。

DTLMiner投递新冠病毒疫情题材的钓鱼邮件

同时《报告》称，瑞星威胁态势感知平台捕获到一起利用“新型冠状病毒”为诱饵进行传播的攻击事件。攻击者使用新冠、肺炎等关键字传播远控木马。经分析该木马为ghost远控木马变种，具有窃取信息、任意文件下载执行等功能。瑞星在《报告》中披露了详细分析，可供广大企业用户参考，并加以防范。

供应链攻击危害逐渐显现

近年来,黑客团伙利用供应链攻击作为安全突破口，对各大政府、企业、机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。《报告》称，供应链攻击一般利用产品软件官网或者软件包存储库等进行传播，这种方式有着“突破一点，伤及一片”的特点，又因其隐蔽性强，检测率低，也是具有国家背景的APT组织常常使用的攻击手段之一。

比如，2020年APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响，据悉，大约有超过250家美国联邦机构和企业受到影响，其中包括美国财政部、美国NTIA、美国安全公司FireEye等，可以算得上是2020年最具影响力的供应链攻击事件了。

该供应链事件是源于软件提供商SolarWinds旗下的Orion网络管理软件源码遭黑客篡改，黑客在名为SolarWinds.Orion.Core.BusinessLayer.dll的文件中添加了Sunburst后门代码，使得Sunburst后门带有有效的数字签名：Solarwinds Worldwide，LLC。

供应链攻击检测难度大、持续性长、攻击面广、影响深远，企业或个人用户应当加强漏洞检测水平，提高安全响应能力，努力建设良好的软件供应链生态。

除此之外，《报告》还解读了勒索病毒、垃圾邮件、信息泄露等后疫情时代网络安全面临的新挑战。勒索软件是2020年最常见的威胁，其可能通过网络钓鱼、电子邮件、漏洞、开放式远程桌面协议（RDP）和Microsoft专有的网络通信协议等方式来发起攻击。勒索软件的攻击规模和频率居高不下，席卷了全球各个领域、各种规模的企业，据统计2020年勒索软件的攻击事件已突破历史最高点，其中药物测试公司HMR、IT服务公司Cognizant、巴西电力公司Light S.A、跨国零售公司Cencosud等多个大型企业都于2020年遭受过勒索攻击。

对于未来的网络安全趋势，《报告》也给出结论，相比2020年，远程办公、远程教育等线上生产和生活方式迅速发展，在带来新的经济发展机遇时，也给网络安全领域带来诸多全新的挑战。同时，勒索软件依旧流行，勒索方式向多重勒索方向发展，垃圾邮件、钓鱼邮件攻击也是需要重点关注的安全领域，不少企业需要提高对邮件的安全防范意识。而供应链攻击的危害已凸显出来，因其隐蔽性强、检测率低，成为有国家背景的APT组织常常使用的攻击手段之一，同时未来信息泄露方面的网络安全形势也依然严峻，个人及企业用户都应提高安全防范意识，做好隐私保护。