駭侵者以肺炎為名，透過魚叉式網路釣魚，散布惡意 Excel 檔

參考網站：
TWCERT/CC 駭侵者以肺炎為名，透過魚叉式網路釣魚，散布惡意 Excel 檔 2020-05-27發表
https://www.twcert.org.tw/tw/cp-104-3634-245b1-1.html

微軟資安研究團隊指出，觀測到有駭侵者利用主題為肺炎大流行資訊的魚叉式釣魚信件，散播內含遠端遙控工具的惡意 Excel 檔。

微軟資安研究團隊日前指出，該團隊觀測到五月上旬開始有駭侵者，利用主題為肺炎大流行資訊的魚叉式釣魚信件，散播內含遠端遙控工具的惡意 Excel 檔。

微軟說，駭侵者將信件偽造為寄自約翰霍普金斯大學的疫病相關研究單位，信件標題為「世界衛生組織 COVID-19 疫情報告」（WHO COVID-19 SITUATION REPORT），用以取信被害人。

在這封魚叉釣魚郵件中夾帶的惡意 Excel 檔，名稱為「covid_usa_nyt_8702.xls」，屬於Excel 4.0 格式；打開後會看到一個安全提問訊息；如果用戶同意的話，就會自網路上下載一個巨集程式，同時執行內含的 RAT 遠端遙控工具。

雖然這個稱為 NetSupport Manager 的 RAT 遠端遙控工具，本身並非惡意軟體，而是系統管理者經常用來遠端控機其他主機的常用軟體，但過去經常傳出該工具被駭侵者惡意運用的案例。

以這個案例來說，一旦成功執行巨集中的 NetSupport，駭侵者就會在受害系統中植入多個 .dll、.ini、.exe 等程式，同時安裝一個 VBScript，再透過 PowerSploit 連線到一台駭侵攻擊使用的控制伺服器。