2023年5月 第二周
 一. 样本概况
✅ 类型1:二维码钓鱼(QRPhish)

利用二维码进行的钓鱼、投毒,成为目前常见的邮件攻击手段之一,该类二维码主要存在于网络链接图片、邮件内容图片、附件图片中。

近日,安全团队捕获到一类基于员工福利、节日礼品的二维码钓鱼邮件。攻击者打着“员工福利”之类的名号,降低防备心,将二维码放在邮件正文中或者附件中,再加上精心准备的钓鱼界面,稍有不慎就泄露自己的银行卡号密码等,最终被攻击者利用,造成敏感信息泄露个人经济损失。部分样本如下:

相较于薪资补贴、个人所得税申报等二维码钓鱼邮件,这类邮件在发件人成功伪造收件人相同邮件域账户的情况下,很多收件人认为是公司内部邮件而放松警惕,目前有企业员工上当受骗。

目前ASEG反欺诈策略能精确识别发件人是否为伪造的企业邮件账户,启发式规则库已提取该类邮件特征,能进行拦截,并处于持续优化更新中。

✅ 类型2:链接钓鱼(URLPhish)

该类钓鱼邮件主要通过伪造IT信息部门的邮件内容提醒用户邮箱账号异常登录、账户限制、账户停用及安全升级等。常见于攻防演练期间钓鱼攻击,APT钓鱼攻击等。部分样本如下:


目前启发式规则库支持对该类邮件全方面拦截,检测点包括但不限于:用户名伪造检测、发件域信誉、HELO、EHLO、rDNS、RBL、内置钓鱼模板匹配度、恶链、0day-Phish等等。

✅ 类型3:木马附件(Trojan)

近期,安全团队也捕获到携带 Kryptik 木马附件的恶意邮件,内容上为订单、发票单、询价等业务相关信息,并且携带压缩文件,内含恶意PE文件。部分样本如下:


Product_xxxxx.zip


发票和账单.rar


目前启发式规则库已支持对该类邮件的检测,配合沙箱联动处理能达到预期拦截效果。

二. 防护建议

✅ 1.企业单位邮件域配置SPF记录,预防内部账号伪造

✅ 2.警惕包含以下内容的特定邮件

使用“xx部门”、“公司财务”等用户名的发件人;

  • 非工作时间发送的邮件,联系发件人确认真实性;

  • 包含“薪资补贴”、“福利”、“订单”、“询价”及“票据”等关键词的邮件主题;

  • 包含“您好,xx”、“尊敬的xx”等泛化问候词的邮件内容;

  • 包含“邮箱备案”、“状态异常”、“安全升级”等伪造IT信息部门发送的邮件内容;

  • 携带未知网页链接或附件,在不确定安全性时不要点击;

✅ 3.部署邮件网关类安全防护产品

文中所涉及样本IOC

  • Domain
    https[:][/][/]uczh7ndym6dctphixyf7huvqyqjwjrw53eznak6wrvcu6fihi-ipfs-w3s-link[.]translate[.]googhttp[:][/][/]mailrnail[.]cnhttp[:][/][/]pmail[.]araguanli[.]com

  • IP

    103.24.1.137

  • MD

    588c1e6ebedea07e6f1ce8d2a7ef53d1e69f4cbd03a083c3b0eaa8581df258348

供稿团队:

天空卫士安全响应中心邮件安全小组