在機(jī)關(guān)���、單位日常辦公中�,接收郵件、查閱文檔是每日基礎(chǔ)工作�。但你是否想過,一份看似平常的DOC或PDF文檔�����,可能正攜帶著竊取機(jī)密的惡意代碼��?
下面�,一起了解有關(guān)案例及相關(guān)防范措施。
典型案例
案例1
2026年1月22日����,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)(CSTIS)發(fā)布風(fēng)險(xiǎn)提示,指出攻擊者將惡意代碼藏匿于看似普通的DOC文檔與PDF文件中���,利用工作人員對(duì)常見文件格式的信任���,伺機(jī)竊取政府、軍事���、電信���、能源等機(jī)構(gòu)的系統(tǒng)憑證�、機(jī)密文件等敏感數(shù)據(jù)���。
案例2
2025年6月�����,國家安全部通報(bào)一起典型案例�。國內(nèi)某知名大學(xué)前沿科技領(lǐng)域?qū)<覘罱淌谑盏骄惩馊藛T偽裝成“學(xué)生”發(fā)送的郵件�����,附件是加密的Word簡歷����,密碼標(biāo)注在郵件正文中����,誘導(dǎo)楊教授打開。楊教授警惕性極高���,及時(shí)上報(bào)�,經(jīng)技術(shù)鑒定���,該Word文檔內(nèi)置境外間諜情報(bào)機(jī)關(guān)專研的木馬程序��。萬幸的是��,楊教授在日?���?蒲泄ぷ髦袊?yán)格遵守保密管理要求,并未在該計(jì)算機(jī)中存儲(chǔ)任何敏感信息����,避免了失泄密情況的發(fā)生。
Word�����、PDF如何成為“竊密工具”�?
攻擊者利用了用戶對(duì)Word和PDF文檔的信任,精心構(gòu)造了兩種誘餌文件�。
套路1:嵌入惡意宏的Word文檔——“啟用內(nèi)容”就是“開門揖盜”
攻擊者將惡意宏代碼嵌入Word文檔,偽裝成會(huì)議通知��、合同���、補(bǔ)丁說明等常用文件�����,郵件標(biāo)題仿官方口吻���,極具迷惑性�����。用戶打開文檔后���,會(huì)彈出“啟用宏才能正常顯示”的提示,一旦點(diǎn)擊“啟用內(nèi)容”��,宏代碼將自動(dòng)執(zhí)行:解密釋放惡意載荷���,生成偽裝成合法程序的可執(zhí)行文件,植入后門���,實(shí)現(xiàn)開機(jī)自啟�����、遠(yuǎn)程控機(jī)���,全程靜默無提示�����。
套路2:偽裝成PDF的可執(zhí)行文件——“雙擊打開”就會(huì)“引狼入室”
這種手法更具欺騙性���,主要有兩種形式:一是“雙后綴偽裝”,文件名看似“xxx.pdf”�,實(shí)際是“xxx.pdf.exe”,圖標(biāo)顯示為PDF�����,用戶雙擊后����,看似打開PDF,實(shí)則運(yùn)行可執(zhí)行程序��,釋放后門�����;二是“惡意文件偽裝”�����,將惡意.desktop文件偽裝成PDF,用戶誤點(diǎn)后����,觸發(fā)隱藏命令,下載竊密程序���。
強(qiáng)化保密意識(shí)
要注意這幾點(diǎn)↓↓↓
網(wǎng)絡(luò)竊密無孔不入�����,Word���、PDF等日常辦公文檔,早已成為境外組織的“竊密利器”����。近年來的典型案例反復(fù)證明:機(jī)關(guān)�����、單位工作人員一次疏忽的點(diǎn)擊�����、一個(gè)僥幸的操作,都可能導(dǎo)致國家秘密��、工作秘密全盤失守���,不僅會(huì)受到黨紀(jì)政務(wù)處分�����,情節(jié)嚴(yán)重的還將承擔(dān)刑事責(zé)任�����。
各機(jī)關(guān)���、單位務(wù)必提高政治站位,強(qiáng)化保密責(zé)任落實(shí)����;工作人員要繃緊保密之弦,警惕每一份陌生文檔����,杜絕“指尖上的泄密”�,共同筑牢網(wǎng)絡(luò)保密安全防線��,守護(hù)國家秘密安全�。
提高風(fēng)險(xiǎn)意識(shí),防范陌生郵件�。立即禁用Office軟件默認(rèn)宏執(zhí)行功能,僅允許受信任����、已簽名的宏運(yùn)行;嚴(yán)禁打開陌生郵件附件中的Word文檔���,若確需打開�,先核實(shí)發(fā)件人身份���,確認(rèn)無風(fēng)險(xiǎn)后����,關(guān)閉宏功能再瀏覽��,堅(jiān)決不點(diǎn)擊“啟用內(nèi)容”�。
警惕PDF陷阱,規(guī)范打開流程�。接收PDF文件時(shí),先查看文件名后綴��,警惕“pdf.exe”雙后綴文件�����,避免雙擊直接打開����;通過正規(guī)PDF閱讀器打開文件,開啟安全模式��,禁止PDF自動(dòng)運(yùn)行嵌入式程序��;不接收陌生來源�����、無明確用途的PDF文件�,尤其是壓縮包中的PDF附件。
強(qiáng)化終端防護(hù)���,全面排查隱患�����。組織終端安全排查���,刪除SystemProc.exe等惡意程序�;實(shí)時(shí)監(jiān)控注冊(cè)表啟動(dòng)項(xiàng)異常寫入����,清除后門自啟配置;部署動(dòng)態(tài)沙箱等安全防護(hù)工具���,深度查殺偽裝文檔����。
北疆新聞 | 內(nèi)蒙古自治區(qū)重點(diǎn)新媒體平臺(tái)��,內(nèi)蒙古出版集團(tuán)?內(nèi)蒙古新華報(bào)業(yè)中心主管主辦的國家互聯(lián)網(wǎng)新聞信息采編發(fā)布服務(wù)一類資質(zhì)平臺(tái)���。
