近日，安天 CERT（安全研究與應急 處理中心）在梳理網絡安全事件時發現一 個名為 BabyShark 的遠控木馬。攻擊者使 用魚叉式網絡釣魚電子郵件的方式進行傳 播，郵件附件為惡意宏文檔，文檔在執行 時會下載該木馬。

      BabyShark 是一種相對較新的惡意軟 件，該木馬于 2018 年 11 月首次被發現， BabyShark 惡意軟件的誘餌文檔均采用英 文編寫，內容涉及東北亞安全問題。誘餌 文檔中的內容一部分是互聯網上的公開信 息，一部分是未公開的。在一個近期的樣 本中，攻擊者使用惡意宏來下載 BabyShark 木馬，文檔打開并啟用宏之后，會從遠程 位置下載 HTA 文件，下載成功之后，惡意 文 檔 以 HTTP GET 方 式 從 C2 服 務 器 下載解碼器，解碼 HTA 文件并執行。解 碼 后 便 是 BabyShark 木 馬， 木 馬 采 用 VB 語言編寫，運行后首先添加注冊表項使 Microsoft Word 和 Excel 啟 用 宏， 然 后 執 行一系列 Windows 命令并將結果保存在％ AppData％ \Microsoft\ttmp.log 中，收集的 數據使用 Windows certutil.exe 工具進行編 碼，然后通過 HTTP POST 方式傳到 C2 服 務器，并且添加注冊表鍵值以達到對受害 者的持久控制。

      安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非 正版的應用軟件、非官方游戲、注冊機等。收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保沒有任何計算機運行直接連接到 Internet 的遠程桌面服務，而是將運行遠程 桌面的計算機放在 VPN 之后，只有使用 VPN 才能訪問它們。同時也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復。

      目前，安天追影產品已經實現了對該 類惡意代碼的檢出。