在新冠疫情流行病爆发之初，IBM Security X-Force 成立了一个威胁情报特别工作组，以专门负责追踪新冠疫情网络威胁，而这些威胁针对的是保持疫苗供应链运转的组织。作为这些工作的一部分，我们的团队最近发现了一起针对与新冠疫情冷链相关的组织的全球网络钓鱼行动。冷链是疫苗供应链的其中一部分，它可确保疫苗在存储空间和运输过程中安全地保存在温控环境中。
我们的分析表明，这是一次精心策划的行动，且始于 2020 年 9 月。新冠疫情网络钓鱼行动跨越六个国家或地区，且目标是可能与 Gavi、疫苗联盟的冷链设备优化平台 (CCEOP) 计划相关的组织；我们将在本博文中进一步解释这些组织。虽然无法确定该行动的具体归属，但对高管和关键全球组织的精准定位却具有国家级策略的潜在特征。
来自 IBM Security X-Force 对该活动的分析的部分细节包括：
IBM Security X-Force 已遵循负责任的披露程序，并就此次有针对性的操作通知了相关实体和主管部门。
IBM Security X-Force 发现了支持 CCEOP 计划的多个行业、政府和全球合作伙伴中的目标。CCEOP 由疫苗联盟 Gavi 与联合国儿童基金会(UNICEF) 及其他合作伙伴于 2015 年共同发起。其目标是最终加强疫苗供应链、优化免疫公平性，并确保对传染病爆发做出敏捷的医疗响应。各类药品（尤其是疫苗）需要在温度受控的环境中存储和运输，以确保其安全保存。
CCEOP 计划自然会加快促进新冠疫情疫苗分发的工作。该全球联盟内部任何部分的违规行为都可能导致全球众多合作伙伴的计算环境遭到暴露。
伪造的网络钓鱼电子邮件似乎源自中国公司海尔生物医疗，而该公司目前是与世界卫生组织 (WHO)、联合国儿童基金会以及其他联合国机构协调工作的 CCEOP 计划的合格供应商。对手很可能采用战略性手段选择假冒海尔生物医学，因为该公司声称自己是全球唯一的完整冷链供应商。同样，根据其职位（电子邮件签名栏中列出的职位），据称发送这些电子邮件的海尔生物医药员工也很可能与海尔生物的冷链运营有关联。
从我们的分析来看，新冠疫情网络钓鱼行动是否成功尚不清楚。但是，海尔生物医疗目前在疫苗运输中发挥的既定作用，以及在新冠疫情疫苗分发中可能发挥的作用，使得预期目标更有可能与入站电子邮件进行交互，而不会质疑发件人的真实性。
网络钓鱼电子邮件的主题被伪装成与 CCEOP 计划相关的报价请求 (RFQ)。这些电子邮件包含在本地打开的恶意 HTML 附件，且会提示收件人输入凭据才能查看文件。此网络钓鱼技术可帮助攻击者避免在网上建立可能被安全研究团队和执法部门发现并删除的钓鱼页面。
我们评估，此活动的目的可能是收集凭据，以供未来进行未经授权的访问。通过此方式，对手可深入了解内部沟通情况，以及分发新冠疫情疫苗的流程、方法和计划。其中包括政府打算用于向供应商分发疫苗的基础设施的相关信息。然而，除了与新冠疫情疫苗相关的关键信息外，对手的访问权限可能还会深入到受害者环境中。通过横向移动穿过网络并保持隐蔽状态，他们可进行网络间谍活动，并从受害者环境中收集更多机密信息，以用于未来的操作。
图 1：发送给与新冠疫情供应链相关组织高管的网络钓鱼电子邮件。
鉴于此次行动中目标组织的专业化程度和全球分布情况，对手很可能对冷链的关键组成部分和参与者有所了解。
虽然目前未知归属，但特定目标组织的精确目标设定和性质却可能指向国家级行动。如果没有明确的现金流出路径，网络犯罪分子不太可能投入时间和资源执行涉及如此众多相互关联且遍布全球的目标的精心运作。同样，针对疫苗运输的洞察分析可能会指向黑市上的热门商品；然而，针对可能影响生活和全球经济的疫苗购买和转移的先进洞察分析却指向，可能会是一个高价值、高优先级的国家级目标。
2020 年初，IBM Security X-Force 发现了围绕全球新冠疫情 PPE 供应链目标设定的行动。同样，随着全球疫苗竞争激烈，冷链很可能成为全球国家级疫苗收集要求的首要目标。
IBM Security X-Force 已准备好在我们的企业智能管理平台上为新冠疫情供应链社区提供一个平台，以便它们共享威胁信息并根据最新威胁情报采取行动。针对各组织在本博文概述的事态发展中提高网络准备状态的建议如下：
如果贵组织在事件响应方面需要即时帮助，请联系 IBM Security X-Force 的美国热线 1-888-241-9812 | 全球热线 (+001) 312-212-8034。了解更多有关 X-Force 威胁情报和事件响应服务的信息。
|SHA256 哈希值
|d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
|ace86e8f5d031968d0c9319081a69fa66ce798e25ec6bbd23720ee570651aa04
|7f53eca4a3e083ad28c8d02862bc84c00c3c73a9d8b7082b7995f150713d4c51
|e3de643f3acebf1696a2b275f4ab1d0bacb5a8ba466ee8edbaaffaaa44cd2f10
|a8c42db5ccddbde5b17ce3545189329a33acfdd4a8b9aff0c7e4294709b60af6
|07dbe854a34e61349adcc97dd3e2eb5a9158e02568bae3e2aae3859aeeb5b8a9
|7898d4596b6125129698866dbfa1a71d069aee3fd84ecb43343c3bf377a7abe2
|7fc47e4fdce42b032b8ad0438cb5c76ed42a36d8c6a3e16d42dd0b69f49f33bd
|83f8934fadccbaaa8119cd542382fbb9b97dfd196ef787b746ccaaf11f1d444e
|6126052b0b200e04ce83a3fa470efee6ba82882674ebcc46c326b0a6c7fbfab4
|75768be2e98b8010256f519a19a2a47d8983686389b2eeab300aca063b229be5
|b98984a7bf669518b074ef1c8fc4240e4ad6f4a2ccc80a7940a0b56150809e37
|33c44f32de3153d7705371c4a0c8d695a4e4eb22b4c4f2f3bda519631efb09af
|a90056d8d0853f54dec3c8738fbcea6185f87aae6102cff2c0e1def49ccde977
|68f4e8b58367ae1d0f8c392b43f459b1d942faf979953233a104cd74944b88f4
|0ec6a1a0b353c672307220fe69ca4c3be6e516505e1f16b5bb8f3b55adaa0c0e
|61e7f48f41414d3c945b7317023ca27e5d3f011b0a2e16354641748cc0f9df8e
|0ac984f340a2903228b17e28c3a0f4507f5fc780bfe6505f196d2b92feccfab8
|9143c2499a1cb2fb4e86ba6f9552f752358d8c8b635376aa619305431a3eec50
|49468e2cbaab71a1035f45ef1d4a7cd791e2d5c2bbbfc9d29249d64f40be9aa4
|8dc052382d626a2b1fb9181bdc276858386098e1919276c682a0a2b397dab80b
|61bae857955c5cabf20119a918a0ebd83cbe9a34ebc6ee628144d225ab0867df
|93643badb18f8dccba1eae3d0a44e8a91d4646cb4d1d4b61e234bf7edc58969c
|c22ec0725f45221e477c9966a32b8faadd3e320c278043e57252903be89664cc
|d5cd18bd27b7525d5e240d5dca555844ec721f8f4be224b91c047b827b7e5529
|3e6b7d3055b50c2fd65231d1f757e3f0a6a1dbd803601d2e4223ace4d2bc1198
|d32b4793e4d99bb2f9d4961a52aee44bbdba223699075ed40f6a6081e9f1e6b4
|28511c50efe2fc02f7a437864e48f8c2983637507c2f8d8773e32ed9a420c895
hxxps://e-mailer.cf/next[.]php
hxxps://e-mailer.ga/next[.]php
hxxps://nwa-oma2.ml/next[.]php
hxxps://routermanager.ga/next[.]php
hxxps://routermanager.gq/next[.]php
hxxps://routermanager.ml/next[.]php
hxxps://routermanagers.cf/next[.]php
hxxps://routermanagers.ga/next[.]php
hxxps://routermanagers.gq/next[.]php
hxxps://routermanagers.ml/next[.]php
hxxps://serverrouter.cf/next[.]php
hxxps://serverrouter.ga/next[.]php
hxxps://serversrouter.cf/next[.]php
hxxps://serversrouter.gq/next[.]php
hxxps://nwa-oma.ml/next[.]php
yongbinxu@haierbiomedical[.]com
DNS SOA 地址
rahim[@]protonmail[.]com
kilode[@]cock.li.
hxxps://mailerdeamon[.]cf
hxxps://mailerdeamon[.]ga
hxxps://mailerdeamon[.]gq
hxxps://mailerdeamon[.]ml
hxxps://mailerdeamon[.]tk
hxxps://routermanager[.]tk
hxxps://routermanagers[.]tk
hxxps://serverrouter[.]tk