超过45万个云网络连接中带有COVID-19主题恶意软件

威胁情报团队Unit 42的研究人员发现，公有云基础设施与传播COVID-19主题恶意软件的域名已建立了通信。此前，Unit 42曾于3月末发表过一篇署名文章，讨论了恶意攻击者利用新冠病毒（COVID-19）发起的各类攻击。Unit 42研究人员试图通过更深入的研究，进一步确定公有云基础设施中是否发生着COVID-19相关的恶意事件。而一旦发现这一活动迹象，企业机构又应如何采取防护措施？

研究人员发现了300多个以COVID-19为主题的恶意软件样本，这些样本与20个独立IP地址和域名入侵指标（IOC）建立了通信。通过查询Prisma Cloud在2020年3月1日至4月7日间与这20个可疑入侵指标的网络连接，研究人员发现，27个独立云环境中共有453,074个独特网络连接（参见图1）。

• 超过45万个云网络连接中带有COVID-19主题恶意软件入侵指标（IoC）
• 覆盖27个独立且存在潜在入侵风险的云环境
• 明确迹象表明，与执行COVID-19主题恶意软件相关的命令与控制（C2）操作的节点已建立通信

图1：工作流程图

由于研究人员无法查看网络流量，也没有收到曾发起网络连接的恶意软件样本，因此目前还无法确定这27家企业机构实际上是否已受到COVID-19主题恶意软件攻击。尽管如此，我们仍应将这些网络连接视为高度可疑，因为目标端点有恶意软件操作的历史记录。

结论

每家企业机构都必须监控其云基础设施的网络通信，以确保识别并阻止恶意通信，这一点至关重要。云原生安全平台方案必须集成到云基础设施、开发和生产环境中，以确保这些以COVID-19为主题的攻击无法在云基础设施中发生。

有关本次研究的更多细节，请点击此处浏览英文全文。

敬请关注Palo Alto Networks（派拓网络）官方微信账号