騰訊安全：永恒之藍(lán)下載器木馬“藍(lán)茶”借疫情設(shè)圈套，多家企業(yè)已中招

日前，騰訊安全威脅情報(bào)中心檢測(cè)發(fā)現(xiàn)，永恒之藍(lán)下載器木馬再度升級(jí)，新增郵件蠕蟲(chóng)傳播能力，木馬在中招用戶機(jī)器上運(yùn)行后，會(huì)自動(dòng)向其通訊錄聯(lián)系人發(fā)起二次攻擊，危害極大，目前已有大量知名企業(yè)被感染。騰訊安全提醒企業(yè)注意防范，及時(shí)安裝相關(guān)補(bǔ)丁，并啟用安全軟件防御攻擊，避免重大安全事故發(fā)生。

據(jù)騰訊安全專家介紹，此次檢測(cè)到的永恒之藍(lán)下載器木馬在執(zhí)行后會(huì)自動(dòng)查找當(dāng)前用戶的郵箱通訊錄，并發(fā)送以新冠肺炎為主題(“The Truth of COVID-19”)的郵件進(jìn)行二次傳播，郵件附件文檔名為urgent.doc，其附帶Office高危漏洞CVE-2017-8570的攻擊代碼，一旦用戶不慎打開(kāi)文檔就會(huì)中招，淪為門羅幣挖礦工具，甚至被遠(yuǎn)程控制，造成數(shù)據(jù)泄露。由于該木馬在執(zhí)行過(guò)程中會(huì)安裝包含bluetea在內(nèi)的多個(gè)計(jì)劃任務(wù)，因此被命名為“藍(lán)茶”。

員工遭遇企業(yè)同事郵件蠕蟲(chóng)攻擊

永恒之藍(lán)”下載器木馬自出現(xiàn)之后從未停止更新，從最初的PE樣本攻擊，到后來(lái)以Powershell無(wú)文件攻擊方式躲避查殺，通過(guò)安裝多個(gè)類型的計(jì)劃任務(wù)進(jìn)行持久化;從通過(guò)供應(yīng)鏈攻擊感染機(jī)器，到利用”永恒之藍(lán)”漏洞、MSSql爆破、$IPC爆破、RDP爆破等方法擴(kuò)散傳播，其攻擊和傳播方式不斷迭代升級(jí)。此次，永恒之藍(lán)下載器木馬新增郵件傳播能力，極易造成病毒在同一企業(yè)、合作伙伴、供應(yīng)商之間快速傳播擴(kuò)散，4月9日，某汽車電子公司遭受企業(yè)同事的郵件蠕蟲(chóng)攻擊。

騰訊安全威脅情報(bào)中心數(shù)據(jù)顯示，“藍(lán)茶”首次攻擊出現(xiàn)在3月30日，此后攻擊趨勢(shì)略有下降，但其攻擊量在4月9日驟然增長(zhǎng)。專家分析，郵件蠕蟲(chóng)傳播能力進(jìn)一步加大了其傳播擴(kuò)散風(fēng)險(xiǎn)。目前已有多家企業(yè)中招被感染，波及制造業(yè)、科技、酒店、物流、金融等10多個(gè)行業(yè)，其中，以制造業(yè)、科技、酒店等行業(yè)最嚴(yán)重。

Bluetea(藍(lán)茶)攻擊行業(yè)分布

騰訊安全專家指出，由于“藍(lán)茶”發(fā)送的釣魚(yú)郵件以當(dāng)前社會(huì)關(guān)注度極高的新冠肺炎為主題，導(dǎo)致用戶打開(kāi)誘餌文檔的可能性較高，一旦中招極易造成企業(yè)內(nèi)的二次傳播。為此，專家提醒企業(yè)和個(gè)人高度重視、加強(qiáng)防范。個(gè)人用戶對(duì)不明來(lái)源的郵件附件切勿輕易打開(kāi)，對(duì)附件中的文件要格外謹(jǐn)慎運(yùn)行，如發(fā)現(xiàn)有腳本或其他可執(zhí)行文件可先使用殺毒軟件進(jìn)行掃描。對(duì)于企業(yè)服務(wù)IT人員，可將公司接收到郵件主題為“The Truth of COVID-19”，附件名為urgent.doc的郵件加入惡意郵件列表進(jìn)行攔截，防止企業(yè)員工因防范疏忽打開(kāi)惡意附件而中毒。

與此同時(shí)，對(duì)服務(wù)器使用安全的密碼策略，尤其是IPC$、MSSQL、RDP賬號(hào)密碼切勿使用弱口令;及時(shí)更新Windows系統(tǒng)修復(fù)CVE-2017-8570漏洞，也可使用騰訊安全終端安全管理系統(tǒng)或騰訊電腦管家進(jìn)行漏洞掃描和修復(fù)。此外，基于騰訊安全能力、依托騰訊在云和端的海量數(shù)據(jù)研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)——騰訊安全高級(jí)威脅檢測(cè)系統(tǒng)，可有效檢測(cè)黑客對(duì)企業(yè)網(wǎng)絡(luò)的各種入侵滲透攻擊風(fēng)險(xiǎn)，企業(yè)可予以部署，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，防患未然。

騰訊御點(diǎn)掃描修復(fù)漏洞

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。