【轉知資安訊息】

武漢肺炎的感染傳播，目前在全世界都造成極大的壓力。在此，網路封包分析協會，祝福大家都平安健康。

當疫情感染爆發後，在上週開始，就有網路攻擊者藉此混亂時機，利用武漢肺炎名義的電郵，傳播惡意巨集檔案，主要是 Emotet類型的惡意巨集。相關報導如下的連接網址:

https://www.hackread.com/cyber-criminals-coronavirus-emergency-spread-malware/

https://hackersonlineclub.com/cybercriminals-spreading-coronavirus-malicious-files/

從上周開始，類似的Emotet惡意巨集電郵，採用日文訊息內容，標題多半與「武漢肺炎」的相關文字有關(Corona Virus, 或是 China Virus) 整封電郵均改用日文撰寫。因此，許多日本企業受駭。

https://www.bleepingcomputer.com/news/security/emotet-malware-restarts-spam-attacks-after-holiday-break/?sf116266679=1

https://www.bleepingcomputer.com/news/security/emotet-uses-coronavirus-scare-to-infect-japanese-targets/

這段期間，請各位協會的會員與 IT 部門同仁，如果有下列情況發生，請勿開啟電郵：

(1)電郵標題為英文 Corona Virus 或是 中文、日文的武漢肺炎開頭，並且有附帶附件檔案，為Office 系列檔案，Word或Excel。

(2)電郵標題類似(1)但是沒有電郵附件檔案，而是內含URL網址，需要點選該網址，以下載檔案。

以上兩種情況，為目前最為普遍的惡意巨集(假借武漢肺炎相關通知)的攻擊方式，請勿開啟此類電子郵件。

若不慎開啟此類電郵，還不一定會感染Emotet惡意巨集，必須再點選附件檔案或是URL網址。因此，只要謹慎處理此類電郵，無需太過緊張。

由於Emotet惡意巨集，會觸發下載程序(Downloader )並可能進一步引發APT後續攻擊，或是安裝Trojan或Ransomware 。若不慎點選此類電郵的附件檔案或URL網址，請勿驚慌。網路封包分析協會，建議按照下列原則，進行處理。

(A) 備份檔案，除了自己建立的Office文件與圖片影片檔案之外，其餘檔案均不要備份。

(B) 找出異常通訊程序，按照封包分析協會的NSPA封包技巧，使用各種封包分析工具，檢視電腦主機有無下列異常通訊行為:

   (B1)沒有開啟網頁瀏覽器、FTP工具、電郵程式，卻發現有通訊連接到外部HTTP, HTTPS, FTP, SMTP網路行為(根據NSPA分析技巧，請排除System Update, App.Update, AV Update)

  (B2) 罕見的DNS查詢內容，特別有 超長網域名稱、Onion.pet或Onion.io的洋蔥橋接域名。

  (B3) 週期性、間歇性的網址連接行為，特別是RST封包後，又發生Retry的反覆嘗試連線行為，持續進行。

  (B4)開啟電郵後，產生明顯HTTP下載檔案的通訊行為。

  (B5) Emotet多半會於惡意巨集開啟時，進行C&C通訊行為。因此，檢查內部網路有無類似C2通訊行為，亦為重點之一。

如果沒有把握，請各位IT同仁，於甫上班時段或半夜時段，錄製網路封包，觀察有無(B1) (B2) (B3) 等等異常行為。或是 將網路封包檔案，郵寄傳送到網路封包分析協會，由協會幫 您查驗有無異常?

Emotet惡意巨集，可能會導致內部網路被駭，或是電腦主機被加密勒索。這段期間，請小心謹慎 Corona Virus 或 類似中文標題電郵。進一步技術範例，請參考協會網站相關資料，https://www.nspa-cert-tw.org/