> **在疫情还未平息之时,根据360官方提供的消息,360安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动APT攻击。——[原文链接][1]
HUC(中国红盟)也于昨日在社区发布了题为《警告!对于印度APT组织对中国网络发起攻》([原文链接][2])的公告。Terrece对于这一情况虽然很愤怒但是奈何学艺不精没办法去反击,针对这个现有情报将攻击方式防护分析如下:
## 表现方式 ##
该攻击方法从形式上看是属于利用欺骗手段骗取用户下载诱饵文档,即通过邮件形式发送带有附件文档的邮件至目标邮箱(这些目标邮箱大多是属于医疗机构等目前的防疫、科研机构以及相关工作人员个人邮箱)。这些附件名称一般有**武汉旅行信息收集申请表.xlsm**等名称的附件。
下载打开相应附件文档后,会提示用户启用宏,这时候**一旦用户点击启用宏**攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用scrobj.dll远程执行Sct文件。继而发生信息泄露等安全问题。
## 识别及防护方法 ##
1.使用正规公文传输系统,避免使用邮箱传输与疫情相关的各类统计文档文件。另一方面注意邮件来源,不轻信莫名地址发送的邮件ps360似乎也提供了[安全的办公传输防护][3],相关文件尽量采取OA或者qq群专人负责传递方式。
2.同时Terrece对比发现加入了宏病毒的文件扩展名与一般的xls有区别,多加了m后缀为xlsm,或许可以作为分辨方式之一,不执行该类附件。
3.鉴于外国人搞破坏中文水平有限,我们可以轻易发现,他们传输的文档中中文翻译器翻译的会有语句不通,当打开附件发现这类语句不通的文件时,**切勿执行“启用宏”选项**。
![office2010下的启用宏提示][4]
```最后,如果您是相关工作者,请务必注意!!天佑中华!!鉴于Terrence水平有限如有错误,请更正,同时terrence也会密切关注事态进展。```
[1]: https://bbs.360.cn/thread-15836178-1-1.html
[2]: http://www.cnhonkerarmy.com/portal.php?mod=list&catid=1&page=4
[3]: https://bbs.360.cn/thread-15836470-1-1.html
[4]: http://daok-1251893043.cos.ap-chengdu.myqcloud.com/usr/uploads/2020/02/1663043747.png**