【网络威胁情报观察之二】APT组织持续利用COVID-19主题传播恶意软件

无论在哪些行业领域，带有COVID-19社会工程的主题均是有效的，特别是利用全球性流行病带来的公众恐慌进行钓鱼诱饵。

威胁分析摘要

• 自2019年底，COVID-19严重爆发以来，德勤 CTI关注并报道了与网络犯罪分子和高级持续性威胁（APT）组织相关的一系列网络活动，这些团体利用公众恐慌来提供各种恶意软件变体。德勤CTI着重分析了多个APT的网络钓鱼诱饵和恶意软件。
• 德勤CTI高置信度评估发现，使用武器化文档分发恶意软件（T1192，T1193）对于所有类型的威胁行为者而言，都是一种简单而高效的方法。他们利用重大的全球性事件，尤其是在对经济和健康产生重大影响的情况下，其效果尤其明显。当此策略与能令接收者信服的社会工程主题联系在一起时，用户打开带有恶意附件的可能性将大大增加。
• 根据进一步显示的诱饵，德勤CTI高置信度评估，随着合法健康来源的新信息逐步可用，COVID-19相关主题的诱饵将继续被各种威胁行为者定期更新。
• 本文详细介绍的一个特征是它们依赖于文档武器化技术的组合来诱使用户执行使用具有数据收集功能的恶意软件。

安全风险建议

德勤建议如下：

• 避免单击电子邮件消息中嵌入的附件或链接，其主题行声称包含与COVID-19或冠状病毒相关的信息。
• 垃圾邮件也可能看起来合法或声称来自官方来源，并且可能使用与COVID-19或冠状病毒相关的主题行主题。
• 向用户提供有关当前威胁，打开附件或单击来自不受信任来源的链接的危险以及防止感染所需的基本操作方面的知识。
• 鼓励可疑电子邮件的接收者通过备用通信方法等安全通道来校验表面上的发件人，而不使用消息中提供的联系信息。
• 启用并配置Windows审核策略和日志记录，并设置注册表以启用进程命令行日志记录。
• 禁止自动保存到用户的“下载”文件夹并从该位置执行应用程序或打开数据文件。
• 使用组策略阻止用户在任何Microsoft Office应用程序中启用宏。
• 在Snort或Suricata等网络上部署入侵检测安全控制，以检测利用后的恶意活动。
• 使用防火墙和入侵检测/防御系统（IDS / IPS）来检测和阻止与恶意软件命令与控制（C2）节点的网络通信。
• 考虑对常见滥用主机（Cloudflare）和异常TLD（例如.tk，.pw等）上基于COVID-19相关域的警报。
• 充分记录主机和用户活动，可以利用和分析主机和用户活动中可疑的威胁参与者活动或试图破坏主机和/或用户帐户的行为。

德勤威胁情报中心CTI

随着网络威胁的演变和越来越复杂化，许多企业领导者都意识到他们无法单独应对挑战。 这就是德勤提供全球化网络安全情报中心（CIC）的初衷，该中心全年365天全天候运营。 我们的CIC提供完全可定制的托管安全解决方案，包括针对企业所在地区的高级安全事件监控，威胁分析，网络威胁管理和事件响应，以满足不断增长的网络安全服务市场需求。
 

相关阅读

【网络威胁情报观察之一】利用COVID-19主题的网络犯罪活动