當前,全民乃至全球都在開展新型冠狀病毒的攻堅戰疫,然而不曾想,一款木馬病毒,披上防控“新冠病毒”的外衣后,開始向航運企業的網絡進行黑客攻擊,并正在快速擴散。

近日,360安全衛士發出通知,稱其全球首家攔截到了以“冠狀病毒”為主題的釣魚活動,該網絡攻擊行動主要瞄準大型航運公司,并定向擴散商業間諜木馬病毒“HawkEye Keylogger 10.0”,監控并竊取多種有價值的數據,包括電腦上的賬號密碼、鍵盤記錄、屏幕截圖、攝像頭、剪切板等。

經分析發現,該商業間諜木馬“HawkEye Keylogger 10.0”又稱“鷹眼鍵盤記錄器”,國內外已有大批航運企業不幸感染。 這款“鷹眼”惡意木馬軟件,此次打著“新冠病毒”的旗號針對航運業的網絡攻擊,主要通過3個伎倆來實現,我們來具體看看這3個伎倆。

伎倆一:

冒充“新冠病毒”防控郵件 誘導用戶點擊運行

據悉,此次的“HawkEye Keylogger 10.0”木馬病毒,主要利用釣魚郵件的方式傳播擴散。不法分子將暗藏惡意代碼的表格文檔“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”發送至目標人群郵箱。

而該文檔名翻譯成中文即為“冠狀病毒影響船員和輪船航運”,在新冠疫情防控的當下,極具誘導性,操作者很容易受誘導打開惡意文檔。而一旦打開,界面又會顯示一個帶有安全警告的宏禁用提示,再一次誘導用戶點擊運行。

一旦用戶點擊運行x這款木馬病毒就將竊取設備上的信息。

此外,該“鷹眼”惡意軟件,也可以作為加載器,利用其僵尸網絡幫助第三方威脅行為者將其他惡意軟件加載至該設備。

伎倆二:

鉆office漏洞,強行嵌入惡意代碼

據悉,如果“鷹眼”惡意軟件使用郵件誘導用戶的伎倆沒有成功,那么接下來,它就會通過經典的office公式編輯器漏洞(CVE-2017-11882),讓文檔攜帶的惡意代碼在用戶電腦中自動運行。

這一步一旦成功后,將下載解密木馬核心模塊“Hawk Eye Keylogger”,并根據資源中的加密配置,將信息回傳給遠程ESMTP服務器,具體地址為“mail.novaa-ship.com”,而發送郵件所使用的賬號則為“armani@novaa-ship.com”(阿瑪尼)。

伎倆三:

偽裝成航運巨頭的企業域名

除了上述兩個伎倆,還發現冒充航運巨頭企業的域名,也是這款“鷹眼”惡意軟件的常用手段,比如新加坡Nova航運公司官方域名就被該惡意軟件冒用,其通過在“nova”域名后增加字母 “a”,用以迷惑客戶和用戶。

此外,最近英國某知名航運公司的計算機也遭受到未經授權的網絡入侵,導致整個預防系統措施淪陷。

在遭遇網絡侵襲后,該公司立即采取了防御措施,并調派外部專家、網絡安全專家,努力盡快完成恢復工作,將黑客攻擊對航運業務的影響降到最低。

網絡攻擊將給航運企業帶來巨大損失,我們還記得馬士基集團2017年遭受的網絡攻擊,當時馬士基集團的的港口和航運業務受到全面影響,持續時間長達兩周,馬士基直接損失了近3億美元。

據悉,目前該“鷹眼”惡意木馬軟件正打著“新冠病毒”的旗號快速擴散,并向國際商業范疇蔓延,攻擊對象包括航運業在內的整個國際貿易網絡。 所以提醒航運企業,在全力防控新冠疫情的同時,還要警惕不法分子冒用“新冠病毒”旗號欺騙攻擊,要做好郵件甄別,筑牢網絡安防堡壘。在針對這場新冠病毒的戰疫中,既確保人員安全,又確保網絡安全。