日前，騰訊安全威脅情報(bào)中心檢測(cè)發(fā)現(xiàn)，永恒之藍(lán)下載器木馬再度升級(jí)，新增郵件蠕蟲傳播能力，木馬在中招用戶機(jī)器上運(yùn)行后，會(huì)自動(dòng)向其通訊錄聯(lián)系人發(fā)起二次攻擊，危害極大，目前已有大量知名企業(yè)被感染。騰訊安全提醒企業(yè)注意防范，及時(shí)安裝相關(guān)補(bǔ)丁，并啟用安全軟件防御攻擊，避免重大安全事故發(fā)生。

　　據(jù)騰訊安全專家介紹，此次檢測(cè)到的永恒之藍(lán)下載器木馬在執(zhí)行后會(huì)自動(dòng)查找當(dāng)前用戶的郵箱通訊錄，并發(fā)送以新冠肺炎為主題(“The Truth of COVID-19”)的郵件進(jìn)行二次傳播，郵件附件文檔名為urgent.doc，其附帶Office高危漏洞CVE-2017-8570的攻擊代碼，一旦用戶不慎打開文檔就會(huì)中招，淪為門羅幣挖礦工具，甚至被遠(yuǎn)程控制，造成數(shù)據(jù)泄露。由于該木馬在執(zhí)行過程中會(huì)安裝包含bluetea在內(nèi)的多個(gè)計(jì)劃任務(wù)，因此被命名為“藍(lán)茶”。

　　員工遭遇企業(yè)同事郵件蠕蟲攻擊

　　永恒之藍(lán)”下載器木馬自出現(xiàn)之后從未停止更新，從最初的PE樣本攻擊，到后來(lái)以Powershell無(wú)文件攻擊方式躲避查殺，通過安裝多個(gè)類型的計(jì)劃任務(wù)進(jìn)行持久化;從通過供應(yīng)鏈攻擊感染機(jī)器，到利用”永恒之藍(lán)”漏洞、MSSql爆破、$IPC爆破、RDP爆破等方法擴(kuò)散傳播，其攻擊和傳播方式不斷迭代升級(jí)。此次，永恒之藍(lán)下載器木馬新增郵件傳播能力，極易造成病毒在同一企業(yè)、合作伙伴、供應(yīng)商之間快速傳播擴(kuò)散，4月9日，某汽車電子公司遭受企業(yè)同事的郵件蠕蟲攻擊。

　　騰訊安全威脅情報(bào)中心數(shù)據(jù)顯示，“藍(lán)茶”首次攻擊出現(xiàn)在3月30日，此后攻擊趨勢(shì)略有下降，但其攻擊量在4月9日驟然增長(zhǎng)。專家分析，郵件蠕蟲傳播能力進(jìn)一步加大了其傳播擴(kuò)散風(fēng)險(xiǎn)。目前已有多家企業(yè)中招被感染，波及制造業(yè)、科技、酒店、物流、金融等10多個(gè)行業(yè)，其中，以制造業(yè)、科技、酒店等行業(yè)最嚴(yán)重。

　　Bluetea(藍(lán)茶)攻擊行業(yè)分布

　　騰訊安全專家指出，由于“藍(lán)茶”發(fā)送的釣魚郵件以當(dāng)前社會(huì)關(guān)注度極高的新冠肺炎為主題，導(dǎo)致用戶打開誘餌文檔的可能性較高，一旦中招極易造成企業(yè)內(nèi)的二次傳播。為此，專家提醒企業(yè)和個(gè)人高度重視、加強(qiáng)防范。個(gè)人用戶對(duì)不明來(lái)源的郵件附件切勿輕易打開，對(duì)附件中的文件要格外謹(jǐn)慎運(yùn)行，如發(fā)現(xiàn)有腳本或其他可執(zhí)行文件可先使用殺毒軟件進(jìn)行掃描。對(duì)于企業(yè)服務(wù)IT人員，可將公司接收到郵件主題為“The Truth of COVID-19”，附件名為urgent.doc的郵件加入惡意郵件列表進(jìn)行攔截，防止企業(yè)員工因防范疏忽打開惡意附件而中毒。

　　與此同時(shí)，對(duì)服務(wù)器使用安全的密碼策略，尤其是IPC$、MSSQL、RDP賬號(hào)密碼切勿使用弱口令;及時(shí)更新Windows系統(tǒng)修復(fù)CVE-2017-8570漏洞，也可使用騰訊安全終端安全管理系統(tǒng)或騰訊電腦管家進(jìn)行漏洞掃描和修復(fù)。此外，基于騰訊安全能力、依托騰訊在云和端的海量數(shù)據(jù)研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)——騰訊安全高級(jí)威脅檢測(cè)系統(tǒng)，可有效檢測(cè)黑客對(duì)企業(yè)網(wǎng)絡(luò)的各種入侵滲透攻擊風(fēng)險(xiǎn)，企業(yè)可予以部署，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)，防患未然。

　　騰訊御點(diǎn)掃描修復(fù)漏洞