趁火打劫,谨防黑客冒充权威疫情防控机构,利用“疫情”发起钓鱼攻击
字数 2190 2025-08-18 11:39:19

防范利用疫情热点进行钓鱼攻击的教学文档

一、攻击背景与概述

黑客组织利用新型冠状病毒疫情这一热点事件,伪装成权威机构(如国家卫健委)发送钓鱼邮件,诱导受害者下载恶意附件或点击恶意链接。

攻击特点:

  • 时机选择:疫情攻坚阶段,公众高度关注时期
  • 伪装手段:冒充可信来源(国家卫健委等权威机构)
  • 诱饵设计:使用"疫情防控"、"捐赠"等热点相关主题
  • 攻击目标:政企单位及个人用户

二、典型钓鱼邮件示例分析

1. 邮件主题伪装

邮件主题 威胁类型
URGENT: Update on Novel Coronavirus Infection and Declaration Form 恶意附件
Help Donation to fight coronavirus wordwide 比特币诈捐
DHL Shipment Notification : 6876666425 钓鱼邮件
Request for Quotation 恶意附件

2. 国家卫健委钓鱼邮件分析

  • 发件人伪装

    • 名称:"中华人民共和国国家卫生健康委员会"
    • 邮箱:admin@en.nhc.gov.cn(伪造)
    • 模仿官方邮件签名格式

  • 附件伪装

    • 文件名示例:"声明表格 03-02-2020 • pdf.exe"
    • 实际为PE病毒,利用双后缀名欺骗(显示为pdf实为exe)

  • 内容设计

    • 贴合真实业务职能(疫情防控工作)
    • 要求填写"旅行申报表"
    • 制造紧急感,施加心理压力

三、技术分析:LokiBot木马攻击链

攻击流程:

  1. 受害者打开恶意Word文档
  2. 显示虚假提示:"文档无法在邮件预览状态下打开,请下载文件,并在打开的时候点击'允许编辑'"
  3. 诱导启用宏命令
  4. 宏执行PowerShell命令从hxxp://mellle[.]com下载LokiBot木马

LokiBot木马特征:

  • 演变自"BankBot"恶意软件

  • 主要功能:

    • 窃取敏感信息
    • 界面劫持
    • 数据加密勒索
    • 建立socks5代理和SSH隧道
    • 内网渗透

  • 初始行为:上传计算机用户名,便于管理失陷主机

四、攻击溯源分析

1. 发件人溯源

  • 真实发件服务器:64.50.163.75(RDNS: vigil.lunarbreeze.com)
  • 实际发件账号:info@sdsalarmas.com
  • 使用lunarpages.com的企业邮件托管服务

2. 木马C2基础设施

  • 回连IP:107.175.150[.]73(colocrossing公司VPS)
  • 开放端口:21、25、110、22、993等
  • 活动时间:至少从2019年11月开始

3. 威胁情报关联

  • 该黑客组织在疫情前就有钓鱼邮件活动
  • 2020年1-2月为活跃期
  • 利用疫情是既有攻击手法的变种

五、关键威胁指标(IOCs)

类型 备注
IP 107.175.150[.]73 LokiBot回连IP
URL hxxp://107.175.150.73/~giftioz/.hoki/fre[.]php 回连URL
域名 hxxp://mellle[.]com 木马下载域名
URL hxxp://mellle[.]com/sp/sp.exe 木马下载链接
MD5 089abb7cb5efa67ddff48b64e289be58 恶意文档
MD5 480f818af5b2fd454d631d637a3a617b 恶意exe
SHA1 9ebac84be6049fa8e11106e5957c35d03d92b569 恶意文档
SHA1 fe163837bebb3561c1fd9e144a2115a3356ba23c 恶意exe

六、防御建议

1. 用户安全意识

  • 警惕包含以下关键词的邮件:
    • 中文:疫|冠状病毒|病毒|武汉|流感|卫生|中华人民共和国国家健康委员会|卫生应急办公室|旅行信息收集申请表|卫生部指令|封城|特效药|口罩
    • 英文:Epidemic|situation|coronavirus|wuhan|fluenza
  • 不随意下载或打开来历不明的邮件附件
  • 验证发件人邮箱真实性(注意域名细节)

2. 技术防护措施

  • Office宏设置

    1. 打开Office选项
    2. 进入信任中心 → 信任中心设置 → 宏设置
    3. 选择"禁用所有宏"

  • 邮件安全系统配置(以睿眼·邮件为例):

    1. 在"威胁检测"→"专家模式"下
    2. 搜索主题或正文含疫情关键字的邮件
    3. 保存为监测场景,实现实时监控

3. 组织防护建议

  • 定期开展钓鱼邮件识别培训
  • 建立可疑邮件报告机制
  • 保持安全软件和系统补丁更新
  • 对重要系统实施多因素认证

七、应急响应措施

  1. 隔离:立即断开受感染设备的网络连接
  2. 取证:保留邮件原件和附件供分析
  3. 清除:使用专业工具查杀恶意软件
  4. 重置:更改所有可能泄露的凭据
  5. 通知:报告相关方并通知可能受影响的人员
  6. 加固:检查并修复系统漏洞

通过以上综合防护措施,可有效降低此类利用热点事件进行钓鱼攻击的风险。

防范利用疫情热点进行钓鱼攻击的教学文档 一、攻击背景与概述 黑客组织利用新型冠状病毒疫情这一热点事件,伪装成权威机构(如国家卫健委)发送钓鱼邮件,诱导受害者下载恶意附件或点击恶意链接。 攻击特点: 时机选择 :疫情攻坚阶段,公众高度关注时期 伪装手段 :冒充可信来源(国家卫健委等权威机构) 诱饵设计 :使用"疫情防控"、"捐赠"等热点相关主题 攻击目标 :政企单位及个人用户 二、典型钓鱼邮件示例分析 1. 邮件主题伪装 | 邮件主题 | 威胁类型 | |---------|---------| | URGENT: Update on Novel Coronavirus Infection and Declaration Form | 恶意附件 | | Help Donation to fight coronavirus wordwide | 比特币诈捐 | | DHL Shipment Notification : 6876666425 | 钓鱼邮件 | | Request for Quotation | 恶意附件 | 2. 国家卫健委钓鱼邮件分析 发件人伪装 : 名称:"中华人民共和国国家卫生健康委员会" 邮箱:admin@en.nhc.gov.cn(伪造) 模仿官方邮件签名格式 附件伪装 : 文件名示例:"声明表格 03-02-2020 • pdf.exe" 实际为PE病毒,利用双后缀名欺骗(显示为pdf实为exe) 内容设计 : 贴合真实业务职能(疫情防控工作) 要求填写"旅行申报表" 制造紧急感,施加心理压力 三、技术分析:LokiBot木马攻击链 攻击流程: 受害者打开恶意Word文档 显示虚假提示:"文档无法在邮件预览状态下打开,请下载文件,并在打开的时候点击'允许编辑'" 诱导启用宏命令 宏执行PowerShell命令从hxxp://mellle[ . ]com下载LokiBot木马 LokiBot木马特征: 演变自"BankBot"恶意软件 主要功能: 窃取敏感信息 界面劫持 数据加密勒索 建立socks5代理和SSH隧道 内网渗透 初始行为:上传计算机用户名,便于管理失陷主机 四、攻击溯源分析 1. 发件人溯源 真实发件服务器:64.50.163.75(RDNS: vigil.lunarbreeze.com) 实际发件账号:info@sdsalarmas.com 使用lunarpages.com的企业邮件托管服务 2. 木马C2基础设施 回连IP:107.175.150[ . ]73(colocrossing公司VPS) 开放端口:21、25、110、22、993等 活动时间:至少从2019年11月开始 3. 威胁情报关联 该黑客组织在疫情前就有钓鱼邮件活动 2020年1-2月为活跃期 利用疫情是既有攻击手法的变种 五、关键威胁指标(IOCs) | 类型 | 值 | 备注 | |------|----|------| | IP | 107.175.150[ . ]73 | LokiBot回连IP | | URL | hxxp://107.175.150.73/~giftioz/.hoki/fre[ . ]php | 回连URL | | 域名 | hxxp://mellle[ . ]com | 木马下载域名 | | URL | hxxp://mellle[ . ]com/sp/sp.exe | 木马下载链接 | | MD5 | 089abb7cb5efa67ddff48b64e289be58 | 恶意文档 | | MD5 | 480f818af5b2fd454d631d637a3a617b | 恶意exe | | SHA1 | 9ebac84be6049fa8e11106e5957c35d03d92b569 | 恶意文档 | | SHA1 | fe163837bebb3561c1fd9e144a2115a3356ba23c | 恶意exe | 六、防御建议 1. 用户安全意识 警惕包含以下关键词的邮件: 中文:疫|冠状病毒|病毒|武汉|流感|卫生|中华人民共和国国家健康委员会|卫生应急办公室|旅行信息收集申请表|卫生部指令|封城|特效药|口罩 英文:Epidemic|situation|coronavirus|wuhan|fluenza 不随意下载或打开来历不明的邮件附件 验证发件人邮箱真实性(注意域名细节) 2. 技术防护措施 Office宏设置 : 打开Office选项 进入信任中心 → 信任中心设置 → 宏设置 选择"禁用所有宏" 邮件安全系统配置 (以睿眼·邮件为例): 在"威胁检测"→"专家模式"下 搜索主题或正文含疫情关键字的邮件 保存为监测场景,实现实时监控 3. 组织防护建议 定期开展钓鱼邮件识别培训 建立可疑邮件报告机制 保持安全软件和系统补丁更新 对重要系统实施多因素认证 七、应急响应措施 隔离 :立即断开受感染设备的网络连接 取证 :保留邮件原件和附件供分析 清除 :使用专业工具查杀恶意软件 重置 :更改所有可能泄露的凭据 通知 :报告相关方并通知可能受影响的人员 加固 :检查并修复系统漏洞 通过以上综合防护措施,可有效降低此类利用热点事件进行钓鱼攻击的风险。