感谢腾讯御见威胁情报中心来稿！ 原文：https://mp.weixin.qq.com/s/UXbsJsCbz6FsQ-ztbk6CaQ   一、概述 目前，由新型冠状病毒引起的肺炎疫情（COVID-19）在全球蔓延，已有190个国家存在确诊病例，全球确诊人数已经超过43万人，死亡病例超过1.9万。中国大陆已基本控制住疫情，但在意大利、西班牙、美国等发达国家疫情仍处于爆发期，世界卫生组织已将疫情的全球风险级别确定为“非常高”。 而随着新冠病毒疫情（COVID-19）在全球蔓延，以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后，已检测到多起以新冠病毒疫情为主题的攻击活动。 攻击者大多以投递邮件的方式，构造诱饵文件欺骗用户点击，恶意文件类型多种多样，覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击的背景也包括具有国家背景的专业APT组织和普通黑产组织。 本文对近期发现的以新冠病毒疫情为诱饵的攻击活动加以汇总，供大家参考。在此提醒广大政企单位和个人用户，在做好疫情防控的同时，也要做好网络安全的防护工作。 二、近期活跃的APT攻击及黑产 01 具有国家背景的APT攻击活动 1)海莲花（APT32）组织 海莲花，又称APT32、OceanLotus，被认为是具有越南国家背景的攻击组织。该组织自发现以来，一直针对中国的政府部门、国企等目标进行攻击活动，为近年来对中国大陆进行网络攻击活动最频繁的APT组织。腾讯安全威胁情报中心在2019年也多次曝光了该组织的攻击活动。 自新冠疫情爆发以来，该组织正变本加厉对中国大陆相关目标进行网络攻击活动。攻击方式依然采用鱼叉邮件攻击，钓鱼邮件同样使用跟新冠病毒疫情相关的诱饵文档。如： 攻击诱饵包括lnk文件、白加黑攻击方式等： 技术细节跟之前曝光的变化不大，本文不再过多描述。 除了投递恶意木马外，海莲花还是用无附件攻击，用来探查用户的一些信息： 也有附件和探针一起的： 2)蔓灵花（BITTER）组织 蔓灵花也是对中国大陆进行攻击的比较频繁的一个攻击组织，其目标包括外交部门，军工、核能等重点企业。 在疫情爆发后，该组织同样采用了跟疫情相关的诱饵来对一些目标进行攻击： 最终释放的特种木马为2019年才开始采用的C#木马： 3)Kimsuky组织 Kimsuky组织被认为是来自东亚某国的攻击组织，该组织一直针对韩国政府部门、大学教授等目标进行攻击活动。Kimsuky组织为韩国安全厂商命名，腾讯安全威胁情报中心在2018、2019均披露过的Hermit（隐士）同属该攻击组织。 在2020年2月底到3月初期，韩国是除中国大陆外受疫情影响最严重的国家。于是Kimsuky十分活跃，开始利用疫情相关的诱饵，对韩国目标进行攻击活动。同时我们发现，该组织还同时具备多平台的攻击能力。 此外，该组织还针对MacOS进行攻击： 最终的恶意文件使用python编写，用来收集用户信息，和C&C进行通信来获取命令等： 4)TransprentTribe组织 TransparentTribe APT组织，又称ProjectM、C-Major，是一个来自巴基斯坦的APT攻击组织，主要目标是针对印度政府、军事目标等。腾讯安全威胁情报在2019年也多次曝光该组织的一些攻击活动。 虽然新冠病毒疫情暂时还未在印度爆发，但是印度也已经在进行一些疫情相关的防控举措，包括关闭国门，加强检疫等等。但是网络攻击不会因此而停止，攻击者同样借助疫情相关资讯进行攻击活动。如： 执行后的宏代码为： 执行后的宏代码为： 02 其他网络黑产活动 包括白象、毒云藤、gamaredon等攻击组织均使用新冠疫情相关诱饵对特定目标进行攻击。由于已经有大量报告针对该些活动的分析，本文就不再罗列。 1)网络诈骗 网络诈骗也是网络攻击活动中的一种，在疫情爆发之后，腾讯安全威胁情报中心检测到多次使用疫情有关的内容进行恶意诈骗的案例。如： 在该案例中，借口让人捐款来研发疫苗，诱使收件人进行比特币转账。所幸，该诈骗活动并未有人上当： 2)投递窃密木马 群发垃圾邮件投递窃密木马也是近期黑产惯用的一些手法，如下： Hancitor木马 假冒保险发票信息 TA505 假冒COVID-19 FAQ的诱饵文档，欺骗目标用户启用宏代码。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 最终释放的窃密木马功能包括cookie窃取、键盘记录、上传下载文件等。 4)勒索病毒 近期检测到勒索病毒主要为两种： 一种为使用新冠疫情为诱饵传播勒索病毒，如CORONAVIRUS_COVID-19.vbs ，最终释放Netwalker勒索病毒 另外一种勒索病毒直接将自己命名为新冠病毒： 三、总结和建议 从本文罗列的以新冠疫情（COVID-19）有关的攻击活动可以看到，网络攻击会紧跟社会热点，精心构造跟时事、热点有关的资讯作攻击诱饵，诱使目标用户点击再植入恶意文件或者进行网络诈骗活动。 在全球新冠疫情全球大爆发的时候，利用新冠疫情相关诱饵进行的网络攻击，其中有些攻击对象还包括医疗机构，手段可谓卑劣至极！因此我们提醒政企机关单位和个人，务必提高警惕，勿轻易信任何与疫情有关的资讯邮件，勿轻易启用Office的宏代码查看文档。 我们建议政企机构使用腾讯安全推荐的方案进行防御，个人用户推荐使用腾讯电脑管家，保持实时防护功能为开启状态。 腾讯安全解决方案部署示意图 IOCs MD5 f6fe2b2ce809c317c6b01dfbde4a16c7 0e5f284a3cad8da4e4a0c3ae8c9faa9d aa5c9ab5a35ec7337cab41b202267ab5 d739f10933c11bd6bd9677f91893986c d9ce6de8b282b105145a13fbcea24d87 a9dac36efd7c99dc5ef8e1bf24c2d747 a4388c4d0588cd3d8a607594347663e0 1b6d8837c21093e4b1c92d5d98a40ed4 31f654dfaa11732a10e774085466c2f6 0573214d694922449342c48810dabb5a 501b86caaa8399d508a30cdb07c78453 e96d9367ea326fdf6e6e65a5256e3e54 da44fd9c13eb1e856b54e0c4fdb44cc7 e074c234858d890502c7bb6905f0716e e262407a5502fa5607ad3b709a73a2e0 ce15cae61c8da275dba979e407802dad b7790bf4bcb84ddb08515f3a78136c84 379f25610116f44c8baa7cb9491a510d 7a1288c7be386c99fad964dbd068964f 258ed03a6e4d9012f8102c635a5e3dcd f272b1b21a74f74d5455dd792baa87e1 域名 m.topiccore.com libjs.inquirerjs.com vitlescaux.com vnext.mireene.com crphone.mireene.com new.915yzt.cn primecaviar.com bralibuda.com dysoool.com m0bile.net fuly-lucky.com IP 63.250.38.240 107.175.64.209  

据外媒报道，新冠病毒大流行给相当一部分人带来了困惑。为了更好地应对这种情况，一些人开始使用移动应用来跟踪疾病的传播。然而这些用户惊讶地发现，他们可能不小心安装了一个恶意软件应用。 一款叫做“COVID19 Tracker”的Android应用就向担心病毒爆发的人们宣传自己是病毒地图。用户在搜索一个显示病毒传播的应用时得到了COVID19 Tracker的链接。然而用户无法在Google Play Store上下载这款应用而需要前往该应用网站。当用户下载并打开应用时他们会迎来一个令人不快的意外。跟其他应用一样，COVID19 Tracker也要求获得设备许可，但一旦获得许可它就会启动一个名为“CovidLock”的程序。CovidLock则会发出威胁，要求用户在48小时内以比特币的形式支付100美元，否则的话将删除其手机上的所有数据。 CovidLock是一种被称为勒索软件的恶意软件，它会劫持用户的数据一直到用户支付赎金为止。通常情况系啊，勒索软件都会把企业作为目标，因为它们有更大的财力或能力，但CovidLock针对的是个人用户。 据了解，CovidLock在被用户打开后会给用户的手机上锁，之后用户只有输入解密密钥才能使用。如果用户通过屏幕上的一个链接支付了比特币赎金，该应用就会向用户提供密钥。网络安全公司DomainTools通过对该应用进行反向工程找到了解密代码：4865083501。 实际上，自2016年Android Nougat发布以来，Android手机就内置了针对CovidLock等屏幕锁定攻击的保护。但如果用户没有为他们的手机设置密码那么这些保护措施将无法起到作用。 另外，DomainTools还设法访问了连接到CovidLock的比特币钱包。该团队正在监视发生在上面的任何活动以此查看黑客是否成功勒索到了钱。当地时间3月16日，COVID19 Tracker网站已被关闭。 实际上，COVID19 Tracker并不是唯一一个跟新冠病毒相关的恶意软件。另一款名为“Corona Live 1.1”的Android应用虽然提供了实际的病毒数据，但它会在用户的手机上安装间谍软件。跟COVID19 Tracker一样，用户必须从应用网站或第三方应用商店下载到Corona Live 1.1，而不能通过Google Play store下载。 虽然假冒应用和其他形式的恶意软件可能正在增加，但用户可以采取措施来避开它们。为了获得关于新冠病毒传播的信息，人们应该只求助于可靠的来源，比如官方医疗机构和政府机构，它们对此都有准确的数据。另外，下载的移动应用只能来自于官方应用商城而非第三方。 最近的一项研究发现，名字跟新冠病毒相关的应用和网站传播恶意软件的可能性比其他域名高出50%。 即使是最基本的安全措施也能有效地防止恶意软件和假冒应用的传播。如果用户启用了他们手机中的所有安全功能并限制应用权限，那么他们就避开许多潜在的安全问题。   （稿源：cnBeta，封面源自网络。）

据外媒报道，网络犯罪从不会休眠，而现在全世界都在关注着这种新冠病毒疫情，于是前者想着利用后者来为自己牟利。这一次则是一个叫做Corona Antivirus的假冒Windows杀毒软件。Malwarebytes和MalwareHunter在两个不同的网站都发现了这个假冒应用。 该应用网站写道：“我们来自哈佛大学的科学家一直在研究一种特殊的AI开发技术，通过使用Windows应用来对抗这种（新冠）病毒。当应用运行时，你的电脑会主动保护你免受冠状病毒(Cov)的攻击。” 该网站提供了一个被感染的安装器，据Malwarebytes披露，它不会在一台被攻击的机器上丢下BlackNET RAT，而设备则会自动添加到BlackNET僵尸网络中。 恶意软件感染自身具有一系列功能，包括作为僵尸网络的一部分发起DDOS攻击、截屏、窃取Firefox cookie等敏感信息、保存密码和比特币钱包以及运行一个键盘记录器来监控系统上的活动等。 Malwarebytes表示：“在此期间，在家和上网都要注意安全。我们在过去几周看到的诈骗数量表明，罪犯会利用任何情况。我们建议您随时更新您的计算机，并在下载新程序时格外小心。当心即时通知和其他消息，即使它们看起来像是来自朋友。”   （稿源：cnBeta，封面源自网络。）

图：苹果回应美国国会隐私担忧：我们不会把客户看作产品 凤凰网科技讯 据 AppleInsider 北京时间 8 月 8 日报道，苹果在写给美国国会议员的一封信函中为公司的隐私和数据收集行为进行了辩护，称它在这些方面与 Facebook 和 Alphabet 等公司存在“根本性区别”。 在签署日期为星期二的一封信函中，苹果联邦事务主管蒂莫西·鲍德利（Timothy Powderly）回答了美国众议院能源和商业委员会主席格雷格·沃尔登（Greg Walden）向公司 CEO 蒂姆·库克(Tim Cook)提出的一系列问题。虽然鲍德利在信函中没有提到 Facebook ，但很显然的是，它是苹果的对标对象。 信函称，“我们认为隐私是一项基本的人权，在设计产品和服务时，有意识地把收集的用户个人信息降低到最低限度。在收集数据时，我们是透明的，不会把数据与用户身份联系起来。我们利用设备的处理能力，把收集的数据量降低到最低。客户不是我们的产品，我们的业务模式不依赖于大量收集客户个人信息，向客户发布有针对性的广告。” 这封信函的内容与库克多次与 Facebook 、数据有关的表态是一致的。 鲍德利在信函中还回答了国会议员提出的与公司定位服务工作原理、数据收集政策、 Siri 麦克风是否会用于不正当用途有关的问题。 鲍德利此前在发送给美国参议院司法委员会主席查尔斯·格拉斯利（Charles Grassley）的一封信函中表达了相似观点。 过去，美国国会议员也曾对苹果的隐私政策提出质疑。   稿源：凤凰网科技，编译：霜叶，封面源自网络；

自去年安全软件公司Avast宣布收购 Piriform 公司之后，包括 CCleaner 在内的多款热门应用也一并纳入 Avast 旗下。然而自收购以来问题不断，去年 9 月份 CCleaner 被黑客入侵长达 1 个多月，问题版本下载量突破 227 万次；而更令人尴尬的是，Avast 正不断疏远 CCleaner 忠实的用户群。昨天，外媒 BetaNews 编辑 Wayne Williams 撰文强烈抨击，并呼吁用户跳过最新版 CCleaner 应用。 在该抨击文章被广泛转载之后，Avast 旗下的 Piriform （CCleaner的厂商）和 Williams 进行了联系，并就文章中的某些问题进行了澄清。回应全文如下： 我们始终的目标是改善 CCleaner 并提供更好的客户体验，在 V5.45 版本中我们引入了某些新的功能，旨在为我们提供更准确的数据，帮助我们更快地检测错误，并让我们知道哪些 CCleaner 功能被使用了，哪些被闲置了。 通过这些新功能收集的信息都是汇总的，而且数据都是匿名的，只允许我们用来发现用户的使用习惯。这些数据对于我们改善软件和客户体验有非常大的帮助。在此承诺，并不会收集用户的个人身份信息。 我们非常注重用户的反馈，目前正在研发下一代 CCleaner。新版本将会从分析报告中分离出清理功能，提供更多的用户控制选项，在 CCleaner 关闭之后能够记忆用户的相关设置。 为了提升透明度，我们还将会提供所收集数据的概述，收集的目的以及数据的后续相关处理。借此机会，我们还将会重新设计 CCleaner 中的数据设置，以便于能以更清晰易懂的方式来增强和用户之间的沟通。构建和测试软件有时候需要一点时间才能完成，但是我们正努力地进行开发，以便于尽早让新版本和大家见面。 对此 Williams 认为，该公司解决问题的态度，以及采取措施应对用户投诉是件好事。例如微软在发布 Windows 10 时候遭到了很多诟病，但伴随着数据透明度的增加这方面的抱怨正在逐渐减少。       稿源：cnBeta.COM，封面源自网络；

包括顶级安全专家、前 NSA 主管 Keith AlexanderKeith 和万事达卡首席执行官 Ajay Banga 在内的一个委员会在一份报告当中建议美国总统当选人唐纳德·特朗普应该训练和雇用大约 10 万黑客，其主要目的是对其它国家发动网络攻击，但也同时保卫美国免遭网络攻击。 这个安全专家小组指出，网络安全应该成为唐纳德·特朗普在美国掌舵期间的优先事项，并建议当选总统要培训黑客，为任何网络威胁做准备。美国应该加强努力培训安全专家，为该国工作，而不是为私人公司牟利，这在过去几年中已成为一个严重的问题。 此外，安全专家建议特朗普必须严格控制所有培训计划，同时创建一个所谓的“国家网络安全人力计划”。唐纳德·特朗普还被建议雇佣一个网络顾问和一个网络大使，并在他任期前几个月内制定出一套国家网络安全战略。特朗普之前数次呼吁苹果帮助联邦调查局从 iPhone 收集犯罪信息，所以只有在这些设备上安装了后门，才能采用这样手法，否则，使设备更难以入侵将不符合特朗普的呼吁和竞选期间的目标。 稿源：cnBeta.com，有删改；封面：百度搜索