騰訊安全：永恒之藍下載器木馬“藍茶”借疫情設(shè)圈套，多家企業(yè)已中招

日前，騰訊安全威脅情報中心檢測發(fā)現(xiàn)，永恒之藍下載器木馬再度升級，新增郵件蠕蟲傳播能力，木馬在中招用戶機器上運行后，會自動向其通訊錄聯(lián)系人發(fā)起二次攻擊，危害極大，目前已有大量知名企業(yè)被感染。騰訊安全提醒企業(yè)注意防范，及時安裝相關(guān)補丁，并啟用安全軟件防御攻擊，避免重大安全事故發(fā)生。

據(jù)騰訊安全專家介紹，此次檢測到的永恒之藍下載器木馬在執(zhí)行后會自動查找當前用戶的郵箱通訊錄，并發(fā)送以新冠肺炎為主題(“The Truth of COVID-19”)的郵件進行二次傳播，郵件附件文檔名為urgent.doc，其附帶Office高危漏洞CVE-2017-8570的攻擊代碼，一旦用戶不慎打開文檔就會中招，淪為門羅幣挖礦工具，甚至被遠程控制，造成數(shù)據(jù)泄露。由于該木馬在執(zhí)行過程中會安裝包含bluetea在內(nèi)的多個計劃任務(wù)，因此被命名為“藍茶”。

員工遭遇企業(yè)同事郵件蠕蟲攻擊

永恒之藍”下載器木馬自出現(xiàn)之后從未停止更新，從最初的PE樣本攻擊，到后來以Powershell無文件攻擊方式躲避查殺，通過安裝多個類型的計劃任務(wù)進行持久化;從通過供應(yīng)鏈攻擊感染機器，到利用”永恒之藍”漏洞、MSSql爆破、$IPC爆破、RDP爆破等方法擴散傳播，其攻擊和傳播方式不斷迭代升級。此次，永恒之藍下載器木馬新增郵件傳播能力，極易造成病毒在同一企業(yè)、合作伙伴、供應(yīng)商之間快速傳播擴散，4月9日，某汽車電子公司遭受企業(yè)同事的郵件蠕蟲攻擊。

騰訊安全威脅情報中心數(shù)據(jù)顯示，“藍茶”首次攻擊出現(xiàn)在3月30日，此后攻擊趨勢略有下降，但其攻擊量在4月9日驟然增長。專家分析，郵件蠕蟲傳播能力進一步加大了其傳播擴散風險。目前已有多家企業(yè)中招被感染，波及制造業(yè)、科技、酒店、物流、金融等10多個行業(yè)，其中，以制造業(yè)、科技、酒店等行業(yè)最嚴重。

Bluetea(藍茶)攻擊行業(yè)分布

騰訊安全專家指出，由于“藍茶”發(fā)送的釣魚郵件以當前社會關(guān)注度極高的新冠肺炎為主題，導(dǎo)致用戶打開誘餌文檔的可能性較高，一旦中招極易造成企業(yè)內(nèi)的二次傳播。為此，專家提醒企業(yè)和個人高度重視、加強防范。個人用戶對不明來源的郵件附件切勿輕易打開，對附件中的文件要格外謹慎運行，如發(fā)現(xiàn)有腳本或其他可執(zhí)行文件可先使用殺毒軟件進行掃描。對于企業(yè)服務(wù)IT人員，可將公司接收到郵件主題為“The Truth of COVID-19”，附件名為urgent.doc的郵件加入惡意郵件列表進行攔截，防止企業(yè)員工因防范疏忽打開惡意附件而中毒。

與此同時，對服務(wù)器使用安全的密碼策略，尤其是IPC$、MSSQL、RDP賬號密碼切勿使用弱口令;及時更新Windows系統(tǒng)修復(fù)CVE-2017-8570漏洞，也可使用騰訊安全終端安全管理系統(tǒng)或騰訊電腦管家進行漏洞掃描和修復(fù)。此外，基于騰訊安全能力、依托騰訊在云和端的海量數(shù)據(jù)研發(fā)出的獨特威脅情報和惡意檢測模型系統(tǒng)——騰訊安全高級威脅檢測系統(tǒng)，可有效檢測黑客對企業(yè)網(wǎng)絡(luò)的各種入侵滲透攻擊風險，企業(yè)可予以部署，及時發(fā)現(xiàn)風險，防患未然。

騰訊御點掃描修復(fù)漏洞

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。