🐌 👠 🎭 在IS威胁中利用冠状病毒这一主题 🚮 😱 🥚

如今，冠状病毒的主题已经占据了所有新闻源，并且也成为利用COVID-19主题及其相关内容进行网络犯罪的各种活动的主要主题。在本说明中，我想提请注意一些此类恶意活动的示例，这些示例对于许多信息安全专家而言当然不是秘密，但是减少其中的一个注释将有助于我为员工准备自己的提高认识的活动，其中一些活动是远程进行的，比以前更容易受到各种信息安全威胁的影响。

不明飞行物护理分钟

大流行的COVID-19是由SARS-CoV-2冠状病毒（2019-nCoV）引起的潜在严重的急性呼吸道感染，已在全球正式宣布。关于Habré的很多信息都涉及此主题-始终记住，它既可靠又有用，反之亦然。

我们敦促您不要批评任何已发布的信息。

官方资料
俄罗斯联邦卫生部网站
Rospotrebnadzor网站
世卫组织网站
世卫组织网站
该地区的运营总部所在地和官方团体

如果您不居住在俄罗斯，请参考您所在国家的类似地点。

洗手，照顾亲人，尽可能呆在家里并远程工作。

阅读有关以下内容的出版物：冠状病毒 | 远程工作

应当指出的是，今天没有与冠状病毒有关的全新威胁。相反，我们正在谈论的是已经是传统的攻击媒介，只是与新的“调味料”一起使用。因此，我将这些威胁称为关键类型：

冠状病毒钓鱼网站和邮件以及相关的恶意代码
旨在利用有关COVID-19的恐惧或不完整信息的欺诈和错误信息
对冠状病毒研究组织的攻击

在俄罗斯，公民传统上不信任当局，并认为他们向他们隐藏了真相，网络钓鱼站点和新闻通讯以及欺诈性资源成功“宣传”的可能性比拥有更开放当局的国家要高得多。尽管今天没有人可以认为自己绝对免受具有创造性思维的网络欺诈者的侵害，这些欺诈者利用了人类所有经典的弱点-恐惧，同情心和贪婪等。

例如，一个销售医用口罩的骗局网站。

美国当局关闭了一个类似的站点CoronavirusMedicalkit [。] Com，以免费分发不存在的针对COVID-19的疫苗，并支付“仅”寄送药品的邮资。在这种情况下，以如此低的价格计算，是根据美国在恐慌之中对药品的紧急需求。

这不是典型的网络威胁，因为在这种情况下，攻击者的任务不是感染用户，也不是窃取其个人数据或身份信息，而只是在担心使他们分叉并以高涨的价格购买医用口罩5-10-30次超过实际价值。但是，网络犯罪分子也使用创建利用冠状病毒主题的假网站这一想法。例如，这是一个名称包含关键字“ covid19”的网站，但该网站是网络钓鱼。

通常，每天监控我们的思科伞调查事件调查服务，您会看到正在创建多少个域名，其名称包含单词covid，covid19，冠状病毒等。其中许多是恶意的。

在公司的一部分员工被转移到家里工作而又没有受到公司救济保护的情况下，有意识地监控员工的移动和固定设备访问的资源比以往任何时候都更为重要，这是有意识或无知的。如果您不使用Cisco Umbrella服务来检测和阻止此类域（Cisco 提供现在可以免费连接到此服务），然后至少将您的Web访问监控解决方案配置为使用相应的关键字进行域控制。同时，请记住，传统的将域名列入黑名单的方法以及使用信誉数据库的方法都可能会失败，因为恶意域的创建速度非常快，并且仅在1-2次攻击中使用了不超过几个小时，然后攻击者便切换到新的一日域名。信息安全公司根本没有时间快速更新其知识库并将其分发给所有客户。

攻击者继续积极利用电子邮件渠道来分发网络钓鱼链接和附件中的恶意软件。由于用户收到有关冠状病毒的合法法律通讯，可能并不总是能识别出其数量上有害的内容，因此它们的有效性很高。尽管受感染的人数仅在增加，但此类威胁的范围也只会增加。

例如，以下是代表流行病控制中心（CDC）的网络钓鱼电子邮件的示例：

当然，单击链接不会链接到CDC网站，而是导致伪造页面窃取受害者的用户名和密码：

这里是一个示例网络钓鱼电子邮件的示例世界卫生组织：

在此示例中，攻击者基于这样一个事实，即许多人认为当局对他们隐藏了感染的真实范围，因此用户很高兴并且几乎毫不犹豫地单击带有恶意链接或附件的信件，据称这些信件或附件揭示了所有秘密。

顺便说一句，有一个这样的Worldometers网站，可让您跟踪各种指标，例如死亡率，吸烟者数量，不同国家的人口等。该网站上还有专门用于冠状病毒的页面。因此，当我在3月16日访问该网站时，我看到了一个页面，使我一时怀疑当局是否在告诉我们真相（我不知道这些数字的原因是什么，也许只是一个错误）：

Emotet是网络罪犯用来发送类似电子邮件的流行基础设施之一，Emotet是最近最危险和最受欢迎的威胁之一。嵌入在电子邮件中的Word文档包含Emotet下载器，这些下载器将新的恶意模块加载到受害者的计算机上。最初，Emotet用来促进与销售医用口罩的欺诈站点的链接，并针对日本居民。在下面，您将看到使用Cisco Threat Grid沙箱分析恶意软件的结果，该沙箱可分析文件中的恶意软件。

但是，攻击者不仅利用了在MS Word中运行的能力，而且还利用了其他Microsoft应用程序（例如MS Excel）中的运行能力（黑客组织APT36就是这样），从印度政府发出了有关打击冠状病毒的建议，其中包括深红RAT：

另一种恶意活动利用冠状病毒主题的是Nanocore RAT，它使您可以在受害计算机上安装用于远程访问的程序，以拦截击键，捕获屏幕图像，访问文件等。

Nanocore RAT通常通过电子邮件发送。例如，在下面，您将看到带有附加的ZIP存档的邮件示例，该存档包含一个可执行的PIF文件。通过单击可执行文件，受害者可以在其计算机上安装远程访问工具（RAT）。

这是寄生于COVID-19主题的另一个运动示例。用户收到一封有关称冠状病毒导致交货延迟的信，并附有扩展名为.pdf.ace的帐户。压缩档案内部包含可执行内容，该可执行内容与命令服务器建立连接以接收其他命令并实现攻击者的其他目标。

Parallax RAT具有类似的功能，该功能分发一个名为“新感染的CORONAVIRUS sky 02/03 / 2020.pif”的文件，并安装一个通过DNS协议与其命令服务器进行交互的恶意程序。 EDR级安全工具（例如用于端点的Cisco AMP）将帮助对抗此类远程访问程序，而NGFW（例如，Cisco Firepower）或DNS监视工具（例如，Cisco Umbrella）可以帮助监视与命令服务器的通信。

在下面的示例中，远程访问恶意软件安装在受害者的计算机上，由于某种未知原因，该恶意软件被广告购买，该广告指出，安装在PC上的常规防病毒程序可以抵御真实的COVID-19。毕竟，有人引出了一个看似开玩笑的笑话。

但是在恶意程序中也确实有奇怪的事情。例如，笑话文件模拟加密器的工作。在一种情况下，我们的Cisco Talos部门发现了一个名为CoronaVirus.exe 的文件，该文件在运行时锁定屏幕并启动计时器，并显示消息“删除此计算机上的所有文件和文件夹均为冠状病毒”。

倒计时结束时，底部的按钮变为活动状态，当按下该按钮时，将显示以下消息，表示这只是一个玩笑，应按Alt + F12结束程序。

可以使用Cisco E-mail Security自动化反恶意软件的活动，您不仅可以检测附件中的恶意内容，还可以跟踪网络钓鱼链接和对其的点击。但是即使在这种情况下，也不要忘记用户培训以及定期进行的网络钓鱼模拟和网络攻击，这些攻击将使用户为应对用户的各种网络犯罪手段做好准备。尤其是如果他们通过个人邮件进行远程工作，恶意代码可能会渗透到公司或部门网络中。在这里，我可以推荐新的思科安全意识工具解决方案，该解决方案不仅可以对人员进行信息安全问题的微观和纳米培训，还可以为他们组织网络钓鱼模拟。

但是，如果由于某种原因您还没有准备好使用此类解决方案，那么您至少应为您的员工组织定期的邮件列表，以提醒其网络钓鱼危险，其示例以及安全行为规则的列表（主要是攻击者不会伪装成）顺便说一句，当前可能的风险之一是网络钓鱼邮件，它们伪装成您的管理层的来信，据称其中涉及远程工作的新规则和程序，必须在远程计算机上安装的强制性软件等。并且不要忘记，除了电子邮件之外，网络罪犯还可以使用即时通讯工具和社交网络。

邮件列表或提高认识方案可以包括假的冠状病毒感染的地图，这是一个类似的典型例子通过推出约翰斯·霍普金斯大学。恶意卡的区别在于，在访问网络钓鱼站点时，恶意软件已安装在用户的计算机上，这会窃取用户凭据并发送给网络犯罪分子。这种程序的一种变体还创建了RDP连接，用于远程访问受害人的计算机。

说到RDP。这是在冠状病毒大流行期间攻击者开始更加积极地使用攻击的另一种媒介。切换到远程工作时，许多公司使用RDP等服务，如果由于急于配置而导致服务不正确，则会导致网络犯罪分子渗透到用户的远程计算机和公司基础结构内部。此外，即使配置正确，在各种RDP实现中，网络犯罪分子仍可能使用漏洞。例如，思科Talos 发现FreeRDP中存在多个漏洞，并且去年5月在Miscrosoft远程桌面服务中发现了严重漏洞CVE-2019-0708，该漏洞允许在受害者的计算机上执行任意代码，引入恶意软件等。NCCA甚至发布了有关它的新闻通讯，例如，Cisco Talos 发布了针对它的保护建议。

还有另一个利用冠状病毒这一主题的例子-在拒绝支付比特币赎金的情况下，受害者家庭受到感染的真正威胁。为了提高效果，赋予字母以重要性并创造一种勒索软件的全能性，受害者的密码来自受害者的一个帐户，该帐户是从公开的登录名和密码数据库中获得的，并被插入了该文字。

在上面的一个示例中，我显示了来自世界卫生组织的网络钓鱼邮件。这里是另一个例子中，用户被要求获得资助的战斗COVID-19（虽然在词“DONATIONTION”错误是在信的正文标题一目了然的。他们要求在比特币，以防止cryptocurrency跟踪帮助。

而这样的例子如今，有许多用户在利用用户的同情心：

比特币以不同的方式连接到COVID-19，例如，这就是许多坐在家里无法赚钱的英国公民收到的邮件的样子（在俄罗斯现在这也变得很重要）。

这些时事通讯伪装成知名的报纸和新闻网站，提供了轻松赚钱的机会-在特殊网站上挖掘加密货币。实际上，一段时间后，您会收到一条消息，指出可以将您的收入提取到一个特殊帐户中，但是在此之前您需要转移少量税款。显然，诈骗者收到这笔钱后不会转移任何东西，易受骗的用户会损失所转移的钱。

世界卫生组织面临另一种威胁。黑客破解了家庭用户和小型公司经常使用的D-Link和Linksys路由器的DNS设置，以便将它们重定向到假网站并弹出警告，提示需要安装WHO应用程序，这将使您及时了解有关冠状病毒的最新消息。同时，应用程序本身包含有害的Oski程序，从而窃取信息。

CovidLock Android木马还利用了包含当前COVID-19感染状态的应用程序的类似想法，并通过一个据称由美国教育部，世卫组织和流行病控制与传播中心（CDC）“认证”的应用程序进行了分发。

如今，许多用户处于孤立状态，不愿或不知道如何做饭，而是积极使用提供食物，食物或其他物品（如厕纸）的服务。攻击者已为自己的目的掌握了此媒介。例如，这就是恶意网站看起来像属于加拿大邮政的合法资源的样子。受害者收到的短信链接指向该网站，该网站报告说所订购的货物无法交付，因为仅剩3美元，必须付款。在这种情况下，会将用户定向到您需要在其中指定信用卡详细信息的页面……所有随之而来的后果。

最后，我想再举两个与COVID-19相关的网络威胁的例子。例如，插件“ COVID-19 Coronavirus-Live Map WordPress插件”，“ Coronavirus Spread Prediction Graphs”或“ Covid-19”被嵌入流行的WordPress引擎上的站点中，并且与显示冠状病毒的分布图一起还包含恶意程序WP-VCD。随着在线活动数量的增加，Zoom公司在专家称为“ Zoombombing”的地区非常受欢迎。攻击者（实际上是普通的色情巨魔）连接到在线聊天和在线会议，并显示了各种淫秽视频。顺便说一下，今天俄罗斯公司也遇到了类似的威胁。

我认为我们大多数人会定期检查各种资源（包括官方资源和不是非常资源），以告知大流行的现状。攻击者利用此主题，向我们提供有关冠状病毒的“最新”信息，包括“当局对您隐藏的信息”。但是，即使是普通普通用户，最近也经常通过发送来自“熟人”和“朋友”的经过验证的事实来帮助攻击者。心理学家说，“警报”用户的这种活动发出了他们视野范围内的所有信息（尤其是在没有针对此类威胁的保护机制的社交网络和信使中），使他们感到参与了全球威胁的斗争。甚至感觉像英雄一样从冠状病毒拯救世界。但是，不幸的是，缺乏专业知识导致这些善意“使所有人下地狱”，对网络安全造成了新的威胁，并增加了受害者人数。

实际上，我仍然可以继续举例说明与冠状病毒有关的网络威胁。此外，网络犯罪分子不会停滞不前，而是提出了越来越多的利用人类激情的新方法。但我认为您可以在此停下来。情况已经很清楚了，它告诉我们，在不久的将来情况只会恶化。昨天，莫斯科当局将拥有一千万人口的这座城市移交给了自我隔离。莫斯科地区和俄罗斯许多其他地区的当局，以及我们在前苏联时代后最亲密的邻国，都做过同样的事情。这意味着网络犯罪分子将要针对的潜在受害者数量将增加很多倍。因此，值得回顾一下您的安全策略，直到最近才侧重于仅保护公司或部门网络，并进行评估。您没有足够的保护手段，但还要在人员意识计划中考虑上述示例，该示例已成为远程工作者信息安全系统的重要组成部分。和思科愿意为您提供帮助！

威胁。在准备本资料时，我们使用了来自Cisco Talos，Naked Security，Antiphishing，Malwarebytes Lab，ZoneAlarm，Reason Security and RiskIQ，美国司法部，Bleeping Computer，SecurityAffairs等的资料。 P.

在IS威胁中利用冠状病毒这一主题

不明飞行物护理分钟

我们敦促您不要批评任何已发布的信息。

More articles: