2023年5月 第二周
一. 樣本概況
✅ 類型1:二維碼釣魚(QRPhish)
利用二維碼進行的釣魚、投毒,成為目前常見的郵件攻擊手段之一,該類二維碼主要存在于網絡連結圖檔、郵件内容圖檔、附件圖檔中。
近日,安全團隊捕獲到一類基于員工福利、節日禮品的二維碼釣魚郵件。攻擊者打着“員工福利”之類的名号,降低防備心,将二維碼放在郵件正文中或者附件中,再加上精心準備的釣魚界面,稍有不慎就洩露自己的銀行卡号密碼等,最終被攻擊者利用,造成敏感資訊洩露個人經濟損失。部分樣本如下:
相較于薪資補貼、個人所得稅申報等二維碼釣魚郵件,這類郵件在發件人成功僞造收件人相同郵件域賬戶的情況下,很多收件人認為是公司内部郵件而放松警惕,目前有企業員工上當受騙。
目前ASEG反欺詐政策能精确識别發件人是否為僞造的企業郵件賬戶,啟發式規則庫已提取該類郵件特征,能進行攔截,并處于持續優化更新中。
✅ 類型2:連結釣魚(URLPhish)
該類釣魚郵件主要通過僞造IT資訊部門的郵件内容提醒使用者郵箱賬号異常登入、賬戶限制、賬戶停用及安全更新等。常見于攻防演練期間釣魚攻擊,APT釣魚攻擊等。部分樣本如下:
目前啟發式規則庫支援對該類郵件全方面攔截,檢測點包括但不限于:使用者名僞造檢測、發件域信譽、HELO、EHLO、rDNS、RBL、内置釣魚模闆比對度、惡鍊、0day-Phish等等。
✅ 類型3:木馬附件(Trojan)
近期,安全團隊也捕獲到攜帶 Kryptik 木馬附件的惡意郵件,内容上為訂單、發票單、詢價等業務相關資訊,并且攜帶壓縮檔案,内含惡意PE檔案。部分樣本如下:
Product_xxxxx.zip
發票和賬單.rar
目前啟發式規則庫已支援對該類郵件的檢測,配合沙箱關聯處理能達到預期攔截效果。
二. 防護建議
✅ 1.企業機關郵件域配置SPF記錄,預防内部賬号僞造
✅ 2.警惕包含以下内容的特定郵件
- 使用“xx部門”、“公司财務”等使用者名的發件人;
- 非工作時間發送的郵件,聯系發件人确認真實性;
- 包含“薪資補貼”、“福利”、“訂單”、“詢價”及“票據”等關鍵詞的郵件主題;
- 包含“您好,xx”、“尊敬的xx”等泛化問候詞的郵件内容;
- 包含“郵箱備案”、“狀态異常”、“安全更新”等僞造IT資訊部門發送的郵件内容;
- 攜帶未知網頁連結或附件,在不确定安全性時不要點選;
✅ 3.部署郵件網關類安全防護産品
文中所涉及樣本IOC
-
Domain
https[:][/][/]uczh7ndym6dctphixyf7huvqyqjwjrw53eznak6wrvcu6fihi-ipfs-w3s-link[.]translate[.]googhttp[:][/][/]mailrnail[.]cnhttp[:][/][/]pmail[.]araguanli[.]com
- IP
- 103.24.1.137
- MD
- 588c1e6ebedea07e6f1ce8d2a7ef53d1e69f4cbd03a083c3b0eaa8581df258348
供稿團隊:
天空衛士安全響應中心郵件安全小組