在機關��、單位日常辦公中���,接收郵件�����、查閱文檔是每日基礎工作�。但你是否想過����,一份看似平常的DOC或PDF文檔,可能正攜帶著竊取機密的惡意代碼���?
下面,一起了解有關案例及相關防范措施���。
典型案例
案例1
2026年1月22日��,工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺(CSTIS)發(fā)布風險提示��,指出攻擊者將惡意代碼藏匿于看似普通的DOC文檔與PDF文件中��,利用工作人員對常見文件格式的信任���,伺機竊取政府��、軍事��、電信���、能源等機構的系統(tǒng)憑證、機密文件等敏感數(shù)據(jù)��。
案例2
2025年6月��,國家安全部通報一起典型案例����。國內(nèi)某知名大學前沿科技領域?qū)<覘罱淌谑盏骄惩馊藛T偽裝成“學生”發(fā)送的郵件,附件是加密的Word簡歷�����,密碼標注在郵件正文中���,誘導楊教授打開����。楊教授警惕性極高����,及時上報�,經(jīng)技術鑒定����,該Word文檔內(nèi)置境外間諜情報機關專研的木馬程序。萬幸的是�����,楊教授在日?���?蒲泄ぷ髦袊栏褡袷乇C芄芾硪螅⑽丛谠撚嬎銠C中存儲任何敏感信息�����,避免了失泄密情況的發(fā)生����。
Word�、PDF如何成為“竊密工具”?
攻擊者利用了用戶對Word和PDF文檔的信任����,精心構造了兩種誘餌文件�。
套路1:嵌入惡意宏的Word文檔——“啟用內(nèi)容”就是“開門揖盜”
攻擊者將惡意宏代碼嵌入Word文檔�,偽裝成會議通知、合同���、補丁說明等常用文件�����,郵件標題仿官方口吻���,極具迷惑性。用戶打開文檔后�����,會彈出“啟用宏才能正常顯示”的提示�,一旦點擊“啟用內(nèi)容”,宏代碼將自動執(zhí)行:解密釋放惡意載荷����,生成偽裝成合法程序的可執(zhí)行文件,植入后門,實現(xiàn)開機自啟����、遠程控機,全程靜默無提示����。
套路2:偽裝成PDF的可執(zhí)行文件——“雙擊打開”就會“引狼入室”
這種手法更具欺騙性,主要有兩種形式:一是“雙后綴偽裝”�����,文件名看似“xxx.pdf”�,實際是“xxx.pdf.exe”,圖標顯示為PDF����,用戶雙擊后,看似打開PDF��,實則運行可執(zhí)行程序�,釋放后門;二是“惡意文件偽裝”�����,將惡意.desktop文件偽裝成PDF�,用戶誤點后,觸發(fā)隱藏命令����,下載竊密程序。
強化保密意識
要注意這幾點↓↓↓
網(wǎng)絡竊密無孔不入����,Word、PDF等日常辦公文檔���,早已成為境外組織的“竊密利器”��。近年來的典型案例反復證明:機關�、單位工作人員一次疏忽的點擊��、一個僥幸的操作��,都可能導致國家秘密����、工作秘密全盤失守,不僅會受到黨紀政務處分��,情節(jié)嚴重的還將承擔刑事責任。
各機關���、單位務必提高政治站位���,強化保密責任落實;工作人員要繃緊保密之弦����,警惕每一份陌生文檔,杜絕“指尖上的泄密”���,共同筑牢網(wǎng)絡保密安全防線�,守護國家秘密安全����。
提高風險意識,防范陌生郵件�����。立即禁用Office軟件默認宏執(zhí)行功能��,僅允許受信任�����、已簽名的宏運行���;嚴禁打開陌生郵件附件中的Word文檔��,若確需打開�,先核實發(fā)件人身份���,確認無風險后�,關閉宏功能再瀏覽�,堅決不點擊“啟用內(nèi)容”。
警惕PDF陷阱���,規(guī)范打開流程����。接收PDF文件時���,先查看文件名后綴��,警惕“pdf.exe”雙后綴文件����,避免雙擊直接打開;通過正規(guī)PDF閱讀器打開文件�,開啟安全模式,禁止PDF自動運行嵌入式程序�;不接收陌生來源、無明確用途的PDF文件���,尤其是壓縮包中的PDF附件�����。
強化終端防護�����,全面排查隱患���。組織終端安全排查,刪除SystemProc.exe等惡意程序����;實時監(jiān)控注冊表啟動項異常寫入,清除后門自啟配置�����;部署動態(tài)沙箱等安全防護工具,深度查殺偽裝文檔�。
北疆新聞 | 內(nèi)蒙古自治區(qū)重點新媒體平臺,內(nèi)蒙古出版集團?內(nèi)蒙古新華報業(yè)中心主管主辦的國家互聯(lián)網(wǎng)新聞信息采編發(fā)布服務一類資質(zhì)平臺�����。
