文档|瑞星捕获一起针对企业的网络攻击

新华社北京12月13日电 瑞星威胁情报中心近日捕获一起针对国内企业的网络攻击。通过分析发现,此次事件的攻击者通过钓鱼邮件向目标投递中文字样的宏文档,以诱惑用户点击并执行,然后释放恶意程序,从而达到上传用户数据和下载远控木马的目的。
【 文档|瑞星捕获一起针对企业的网络攻击】据瑞星安全专家介绍,这次攻击事件中捕获的样本是一个名为“俞通才周报1025-1031.xlsm”的宏文档。进一步分析发现,此文档还有另外一个名字,为“2021-10工资中公积金问题咨询.xlsm”。
专家介绍,这个文档有两个根据宏代码控制其显示或隐藏属性的工作表,通过诱骗用户主动执行宏代码显示不同的工作表,同时释放以硬编码形式存放于宏代码中的恶意程序,以此达到隐藏自身恶意行为的目的。
通过进一步分析,瑞星发现,这个宏文档主要是利用宏代码,在Windows自启动目录Startup下释放恶意程序。该恶意程序的主要作用是通过与“centos.onthewifi.com”建立通信,进而上传用户电脑数据资料等隐私信息,同时接收来自攻击者的远控木马等威胁。
瑞星专家建议,广大企业级用户应加强防范,做到以下几点防御措施:不打开可疑文件;部署网络安全态势感知、预警系统等网关安全产品;安装有效的杀毒软件,拦截查杀恶意文档和木马病毒;及时修补系统补丁和重要软件的补丁。

    推荐阅读