关于防范境外APT组织网络攻击的预警通报

近日监测发现，境外APT组织伪装成境内外学术期刊，业内知名专家等方式进行钓鱼邮件攻击，发送携带恶意链接或附件的邮件，窃取受害者邮箱账号密码 南宫体育，并对其个人终端设备进行入侵控制，进而窃取敏感数据等，现将有关攻击手法和特征通报如下。

一、攻击者手法特征

1 南宫体育，伪装境内外学术期刊钓鱼。攻击者利用受害者急于出版论文的心态，结合受害单位研究方向，伪装成学术期刊编辑，向论文作者发送“论文校对”“论文确认”等主题的邮件，邮件包含论文投递时间、在线发表地址等信息，以及攻击者插入的钓鱼链接或恶意附件，进而达到攻击窃密目的。已发现攻击者伪装的期刊和出版社有9个，详见附件1。。

2 南宫体育，伪装境外业内专家钓鱼。攻击者模仿航空航天领域国外某知名教授，向国内航空航天相关专业老师发送学术会议邀请函，并以“核对参会人信息”等方式，向受害者发送带有恶意链接和附件的邮件，诱导受害者点击下载。。

3 南宫体育，U盘跨网传播恶意程序。攻击者除发送钓鱼邮件外，还向受害者个人主机植入可通过U盘传播的恶意程序，当检测到受害者主机接入新的U盘等移动存储设备时，恶意程序自身将复制到新设备中并伪装成名为“私人图片，png”的图片，引诱其他使用该U盘的受害者点击，进而实现跨网传播。。

4，高度定制化木马程序。攻击者通过钓鱼邮件成功入侵受害主机后，收集受害主机详细信息，后续对文档窃取程序进行定制化开发，窃取受害者主机指定目录下的文件和数据。在已掌握恶意样本程序中发现含有“最近使用文档”“微信聊天文件”等路径，窃取文件目标明确。 南宫体育。

5，使用第三方平台分发恶意程序。攻击者在第三方代码平台GitHub上注册多个账号，建立恶意代码仓库，在攻击过程中多次使用GitHub代码平台下发恶意程序，并通过更新仓库中配置文件，对恶意程序进行远程控制。相关恶意IP和域名详见附件2。 南宫体育。

二、有关问题隐患和防护建议

为有效防范境外APT组织对教育系统航空航天等重点领域网络攻击窃密活动，请各单位重点做好以下工作： 南宫体育.

一是加强网络安全培训 南宫体育，提升人员安全防护意识。

二是强化邮箱安全管理，采用多因子登录认证 南宫体育，配置邮箱防护设备和策略，及时发现异常邮件和登录行为，封堵钓鱼网站和木马回连IP，域名等。

三是加强网络安全监测等工作，发现重大网络安全事件及时上报部网信办 南宫体育。

附件：

1.攻击者伪装的期刊和出版社

2.相关恶意IP和域名