瑞星捕获一起针对企业的网络攻击

新华社北京12月13日电 瑞星威胁情报中心近日捕获一起针对国内企业的网络攻击。通过分析发现，此次事件的攻击者通过钓鱼邮件向目标投递中文字样的宏文档，以诱惑用户点击并执行，然后释放恶意程序，从而达到上传用户数据和下载远控木马的目的。

据瑞星安全专家介绍，这次攻击事件中捕获的样本是一个名为“俞通才周报1025-1031.xlsm”的宏文档。进一步分析发现，此文档还有另外一个名字，为“2021-10工资中公积金问题咨询.xlsm”。

专家介绍，这个文档有两个根据宏代码控制其显示或隐藏属性的工作表，通过诱骗用户主动执行宏代码显示不同的工作表，同时释放以硬编码形式存放于宏代码中的恶意程序，以此达到隐藏自身恶意行为的目的。

通过进一步分析，瑞星发现，这个宏文档主要是利用宏代码，在Windows自启动目录Startup下释放恶意程序。该恶意程序的主要作用是通过与“centos.onthewifi.com”建立通信，进而上传用户电脑数据资料等隐私信息，同时接收来自攻击者的远控木马等威胁。

瑞星专家建议，广大企业级用户应加强防范，做到以下几点防御措施：不打开可疑文件；部署网络安全态势感知、预警系统等网关安全产品；安装有效的杀毒软件，拦截查杀恶意文档和木马病毒；及时修补系统补丁和重要软件的补丁。