概述

随着全球对 Delta 毒株的担忧持续上升，多种威胁都已重新使用 COVID-19 相关主题发起攻击。本来在 2021 年春季，以 COVID-19 为主题的威胁已经处于停滞。

活动

自从疫情大流行以来，Proofpoint 持续跟踪与 COVID-19 相关的威胁。以分发 Emotet 而闻名的 TA542 在 2020 年 1 月开始在鱼叉邮件中使用 COVID-19，而最近相关的主题再度显著增加。

2021 年 6 月以来，以 COVID-19 为主题的攻击行动分发了 RustyBuer、Formbook 和 Ave Maria 等恶意软件、窃取 Microsoft 和 Office 365 的凭据。

根据 Proofpoint 的数据，与疫情相关的威胁与公众对 Delta 变种的认知保持同一态势。Google 检索量在 2021 年 6 月末达到顶峰并持续到 2021 年 8 月。

Delta 毒株在全球肆虐，数以万计的威胁也没有停止。韩国最近提高了网络威胁告警级别，以应对与 COVID-19 相关的威胁增加。

攻击者利用了大家的恐惧，将病毒作为社会工程学的诱饵。随着疫苗的普及，攻击者也开始使用疫苗接种相关的主题发起攻击。

凭据窃取

Proofpoint 的研究人员发现了多个与 COVID-19 相关的凭据窃取活动，针对全球数千家组织的 Microsoft 凭据进行盗窃。

攻击者声称是人力资源部门发送的疫苗接种自律报告：

最近，很多美国企业要求员工在返回办公室办公之前接种疫苗。随着疫苗越来越普及，攻击者很可能会更多地采用这类主题发起攻击。

就业状况

研究人员也发现，数百个伪装成特定组织人力资源部门的账户发起了大量的 Formbook 攻击行动。这些电子邮件包含一个压缩文件（Scan.Salary.zip），通知收件人由于疫情的影响，他们的工作正在被取消。

电子邮件是通用的，但针对攻击目标进行了定制。为了进一步诱使收件人打开恶意文件，该电子邮件附带“2 月工资收据”。

Ave Maria

近期也发现了 Ave Maria 恶意软件活动，主要针对能源和工业组织。Ave Maria 是一个用 C++ 编写的远控木马，能够控制摄像头、键盘击键记录、密码窃取和远程桌面访问等。

首先观察到的电子邮件声称是与 COVID-19 相关的健康咨询，并声称包含与目标公司政策相关的“预防措施”。

一千多封电子邮件针对数十个客户发起攻击，其中 90% 以上的目标都在能源相关的垂直领域。

所有 Ave Maria 相关的攻击都包含一个 Excel 附件，该文件利用了各种公式编辑器漏洞。攻击基础设施利用了动态 DNS 和 5200 端口进行通信。

RustyBuer

目前最活跃的相关威胁是 RustyBuer，一个基于 Rust 的 Loader。在 2021 年 4 月首次被发现，分发包括勒索软件在内的各种恶意软件。

最近利用疫情的攻击行动包括各种主题，如强制接种疫苗、医疗保健机会公平和实际感染率。

结论

Delta 毒株的严重程度越发被广泛报道，与 COVID-19 相关威胁也同步增加。在病毒威胁没有被得到有效控制之前，更多攻击者可能会在未来的攻击行动中使用该主题。

IOC

a2ba3e1a002cd3c7d5be4ff05d6001692a1a516096159ac77b78f0ddd9c3060e 
88689636f4b2287701b63f42c12e7e2387bf4c3ecc45eeb8a61ea707126bad9b
e3a11be133a98c05ab7aa90f7ca8037cfdad66b0159b5522a85dab5d54f6eb71
24cf6db04d0882f124750e4b7025455d11b02f23ad088a334e449a82d672e64a
6b4a4244409dc7dd0e538b98fbb886b51d626202bdc8501af5c9c4e84daecd82
warzonlogs.duckdns.org 
admin@ledfarm.store 
contact@wmbtole-com.uno 
contact@yumaletab-net.uno 
info@taxpunishdep.com
info@loveshipper.com
cerionetya.com
info@deliverydhlexpress.com
info@deliveryeatstreet.com
info@covidhospitalgeer.com
info@covidadministration.com
info@covidbooksinfo.com
info@discountfreeals.com
lebatyo.com
eurolord.duckdns.org
http://sassyladywrites.com/a1/b7.exe
https://00f74ba44bd85135df3aa07960343eeeec89e0088b-apidata.googleusercontent.com/download/storage/v1/b/dhngw6p6rwrwnuv6vnuse.appspot.com/o/index.html
https://storage.cloud.google.com/dhngw6p6rwrwnuv6vnuse.appspot.com/index.html#username@organizationname.tld
https://hejoysa.com/ssl/v1/getkey
https://luareraopy.com/api/v3/dacryorrhea/cardholders/nympholepsies
http://sweetdreambymoon.stars.bz/a2/p3.exe
https://seryanjek.com/api/v3/disambiguate/nonequivalent/ditrigonal
http://www.aozhengaodi.com/bkbk/

参考来源

Proofpoint