“新冠肺炎”成网络钓鱼诱饵
2020年是“新冠肺炎”全球大面积爆发的一年,国内外不少黑客、APT组织利用“肺炎”“疫情”等相关题材作为诱饵,对一些政府、教育、卫生等机构发起钓鱼攻击。《报告》解读了包括DTLMiner病毒利用新冠疫情为题材传播、APT组织“Sidewinder”利用防疫题材对高校发起攻击、APT组织“OceanLotus”利用疫情相关信息投递后门在内的多起网络攻击事件。其中,通过DTLMiner挖矿木马向目标投递和COVID-19新冠病毒疫情相关的钓鱼邮件的方式,诱使用户打开恶意的邮件附件,当受害者打开了钓鱼邮件中的恶意文档后,进而将会访问恶意链接下载脚本并执行。
DTLMiner投递新冠病毒疫情题材的钓鱼邮件
同时《报告》称,瑞星威胁态势感知平台捕获到一起利用“新型冠状病毒”为诱饵进行传播的攻击事件。攻击者使用新冠、肺炎等关键字传播远控木马。经分析该木马为ghost远控木马变种,具有窃取信息、任意文件下载执行等功能。瑞星在《报告》中披露了详细分析,可供广大企业用户参考,并加以防范。
供应链攻击危害逐渐显现
近年来,黑客团伙利用供应链攻击作为安全突破口,对各大政府、企业、机构组织所进行的网络攻击安全事件不断发生,供应链攻击已成为2020年最具影响力的高级威胁之一。《报告》称,供应链攻击一般利用产品软件官网或者软件包存储库等进行传播,这种方式有着“突破一点,伤及一片”的特点,又因其隐蔽性强,检测率低,也是具有国家背景的APT组织常常使用的攻击手段之一。
比如,2020年APT组织UNC2452所使用的SolarWinds供应链攻击就给全球带来了巨大影响,据悉,大约有超过250家美国联邦机构和企业受到影响,其中包括美国财政部、美国NTIA、美国安全公司FireEye等,可以算得上是2020年最具影响力的供应链攻击事件了。
该供应链事件是源于软件提供商SolarWinds旗下的Orion网络管理软件源码遭黑客篡改,黑客在名为SolarWinds.Orion.Core.BusinessLayer.dll的文件中添加了Sunburst后门代码,使得Sunburst后门带有有效的数字签名:Solarwinds Worldwide,LLC。
供应链攻击检测难度大、持续性长、攻击面广、影响深远,企业或个人用户应当加强漏洞检测水平,提高安全响应能力,努力建设良好的软件供应链生态。
除此之外,《报告》还解读了勒索病毒、垃圾邮件、信息泄露等后疫情时代网络安全面临的新挑战。勒索软件是2020年最常见的威胁,其可能通过网络钓鱼、电子邮件、漏洞、开放式远程桌面协议(RDP)和Microsoft专有的网络通信协议等方式来发起攻击。勒索软件的攻击规模和频率居高不下,席卷了全球各个领域、各种规模的企业,据统计2020年勒索软件的攻击事件已突破历史最高点,其中药物测试公司HMR、IT服务公司Cognizant、巴西电力公司Light S.A、跨国零售公司Cencosud等多个大型企业都于2020年遭受过勒索攻击。
对于未来的网络安全趋势,《报告》也给出结论,相比2020年,远程办公、远程教育等线上生产和生活方式迅速发展,在带来新的经济发展机遇时,也给网络安全领域带来诸多全新的挑战。同时,勒索软件依旧流行,勒索方式向多重勒索方向发展,垃圾邮件、钓鱼邮件攻击也是需要重点关注的安全领域,不少企业需要提高对邮件的安全防范意识。而供应链攻击的危害已凸显出来,因其隐蔽性强、检测率低,成为有国家背景的APT组织常常使用的攻击手段之一,同时未来信息泄露方面的网络安全形势也依然严峻,个人及企业用户都应提高安全防范意识,做好隐私保护。