瑞星卡卡安全论坛

近日，瑞星威胁情报中心捕获到一起针对中东地区阿拉伯语国家的攻击事件，通过分析发现，此次攻击事件的主谋是APT-C-23组织。该组织通过互联网盈利为噱头，诱骗目标打开伪装成docx文档的远程控制病毒，从而进行信息收集、远程服务器通信、窃取机密等行为。目前，瑞星ESM防病毒终端安全防护系统可拦截并查杀此次攻击携带的相关病毒，广大用户可安装使用，杜绝相应风险。

图：瑞星ESM防病毒终端安全防护系统查杀相关病毒

据悉，APT-C-23组织是一个至少从2016年开始对目标进行网络攻击的威胁组织。该组织又被称为FrozenCell、AridViper、Micropsia、Desert Falcon和“双尾蝎”，其主要目的是信息盗窃和间谍活动，具备针对Windows与Android双平台的攻击能力。该组织长期针对中东地区，特别是巴勒斯坦进行攻击，涉及行业多为政府、教育、军事等重要领域。

瑞星安全专家介绍，通过此次攻击中的恶意样本和APT-C-23组织过去的攻击手法可以看出，该组织是利用了社交媒体或自建的钓鱼网站对目标进行攻击的。此次样本所释放的诱饵文档名为“Profit from the Internet.docx”，文档内文显示为阿拉伯文，因此可判定攻击目标为阿拉伯语国家。该文档内容主要是关于“如何通过互联网盈利”，以此来诱骗目标用户点击运行，一旦诱饵文档被打开，恶意程序便会在后台开展信息收集、远程服务器通信等恶意行为，从而达到窃取机密信息的目的。

图：诱饵文档内容及译文

通过分析可以看出，该恶意程序特意使用docx文档图标以达到伪装目的，通过释放白名单诱饵文档和创建快捷方式实现隐蔽性及持久性，当攻击者通过远控病毒获取到目标系统资料后，还会将收集到的信息经过加密处理后上传远程服务器，躲避流量监控，最终达到窃取机密信息的目的。

图：攻击流程

由于这类攻击诱惑性及隐蔽性极强，普通用户极易中招，因此瑞星在此提供广大用户应加强防范，做到以下几点防御措施，避免受到此类攻击。

1.不打开可疑文件。
不打开未知来源的可疑的文件和邮件，防止社会工程学和钓鱼攻击。

2.部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助企业更快响应和处理。

3.安装有效的杀毒软件，拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒，如果用户不小心下载了恶意文件，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

4.及时修补系统补丁和重要软件的补丁。

打开未确定的不明文件导致的中毒，现在是主流的中毒情况

我们这边卫生系统里遇到过类似的情况导致服务器被勒索病毒攻击加密的情况了。

可怜见的。