日前�,騰訊安全威脅情報中心檢測發(fā)現(xiàn)�,永恒之藍(lán)下載器木馬再度升級,新增郵件蠕蟲傳播能力��,木馬在中招用戶機(jī)器上運(yùn)行后����,會自動向其通訊錄聯(lián)系人發(fā)起二次攻擊�����,危害極大�����,目前已有大量知名企業(yè)被感染。騰訊安全提醒企業(yè)注意防范�,及時安裝相關(guān)補(bǔ)丁,并啟用安全軟件防御攻擊��,避免重大安全事故發(fā)生���。
據(jù)騰訊安全專家介紹�����,此次檢測到的永恒之藍(lán)下載器木馬在執(zhí)行后會自動查找當(dāng)前用戶的郵箱通訊錄���,并發(fā)送以新冠肺炎為主題(“The Truth of COVID-19”)的郵件進(jìn)行二次傳播,郵件附件文檔名為urgent.doc��,其附帶Office高危漏洞CVE-2017- 8570 的攻擊代碼,一旦用戶不慎打開文檔就會中招�����,淪為門羅幣挖礦工具�,甚至被遠(yuǎn)程控制,造成數(shù)據(jù)泄露�。由于該木馬在執(zhí)行過程中會安裝包含bluetea在內(nèi)的多個計(jì)劃任務(wù),因此被命名為“藍(lán)茶”����。
員工遭遇企業(yè)同事郵件蠕蟲攻擊
永恒之藍(lán)”下載器木馬自出現(xiàn)之后從未停止更新,從最初的PE樣本攻擊��,到后來以Powershell無文件攻擊方式躲避查殺��,通過安裝多個類型的計(jì)劃任務(wù)進(jìn)行持久化���;從通過供應(yīng)鏈攻擊感染機(jī)器���,到利用”永恒之藍(lán)”漏洞、MSSql爆破��、$IPC爆破���、RDP爆破等方法擴(kuò)散傳播�,其攻擊和傳播方式不斷迭代升級。此次��,永恒之藍(lán)下載器木馬新增郵件傳播能力�����,極易造成病毒在同一企業(yè)�����、合作伙伴��、供應(yīng)商之間快速傳播擴(kuò)散���, 4 月 9 日,某汽車電子公司遭受企業(yè)同事的郵件蠕蟲攻擊����。
騰訊安全威脅情報中心數(shù)據(jù)顯示,“藍(lán)茶”首次攻擊出現(xiàn)在 3 月 30 日�����,此后攻擊趨勢略有下降,但其攻擊量在 4 月 9 日驟然增長�����。專家分析��,郵件蠕蟲傳播能力進(jìn)一步加大了其傳播擴(kuò)散風(fēng)險����。目前已有多家企業(yè)中招被感染,波及制造業(yè)��、科技���、酒店����、物流�����、金融等 10 多個行業(yè)�,其中,以制造業(yè)����、科技�����、酒店等行業(yè)最嚴(yán)重��。
Bluetea(藍(lán)茶)攻擊行業(yè)分布
騰訊安全專家指出����,由于“藍(lán)茶”發(fā)送的釣魚郵件以當(dāng)前社會關(guān)注度極高的新冠肺炎為主題����,導(dǎo)致用戶打開誘餌文檔的可能性較高,一旦中招極易造成企業(yè)內(nèi)的二次傳播�����。為此��,專家提醒企業(yè)和個人高度重視���、加強(qiáng)防范。個人用戶對不明來源的郵件附件切勿輕易打開�����,對附件中的文件要格外謹(jǐn)慎運(yùn)行,如發(fā)現(xiàn)有腳本或其他可執(zhí)行文件可先使用殺毒軟件進(jìn)行掃描��。對于企業(yè)服務(wù)IT人員���,可將公司接收到郵件主題為“The Truth of COVID-19”�,附件名為urgent.doc的郵件加入惡意郵件列表進(jìn)行攔截����,防止企業(yè)員工因防范疏忽打開惡意附件而中毒。
與此同時�,對服務(wù)器使用安全的密碼策略,尤其是IPC$���、MSSQL�����、RDP賬號密碼切勿使用弱口令��;及時更新Windows系統(tǒng)修復(fù)CVE-2017- 8570 漏洞���,也可使用騰訊安全終端安全管理系統(tǒng)或騰訊電腦管家進(jìn)行漏洞掃描和修復(fù)�����。此外����,基于騰訊安全能力�、依托騰訊在云和端的海量數(shù)據(jù)研發(fā)出的獨(dú)特威脅情報和惡意檢測模型系統(tǒng)——騰訊安全高級威脅檢測系統(tǒng),可有效檢測黑客對企業(yè)網(wǎng)絡(luò)的各種入侵滲透攻擊風(fēng)險����,企業(yè)可予以部署,及時發(fā)現(xiàn)風(fēng)險���,防患未然����。
騰訊御點(diǎn)掃描修復(fù)漏洞
