2023年6月 第二周
样本概况
✅ 类型1:

携带钓鱼链接的伪造传票邮(URLPhish)

近期,安全团队捕获到一类新的伪造51某票的钓鱼邮件,内容上为伪造的律师事务所传票信息,并诱导收件人点击钓鱼链接。代表样本如下:


结合情报分析,该域名下存在过恶意压缩文件,木马家族为FlyStudio,猜测该攻击团队也是通过携带恶意压缩附件的形式开展钓鱼活动。


目前启发式规则库已支持对该类邮件的检测。

✅ 类型2:推销广告类邮件(Spam)

这类邮件多以代开发票、银行贷款、租赁店铺等为由,留下联系方式。通常是大批量群发,抢占邮箱配额空间,98%以上的用户都将此类邮件标记为垃圾邮件。部分样本如下:


这类样本属于天空卫士邮件安全团队长期关注、捕获的样本集,启发式规则库自2021年4月份就已支持检测该类型的样本,并且处于持续优化中。

✅ 类型3:木马附件(Trojan)

(1)员工涨薪

警惕这类恶意邮件,内容上为员工涨薪相关信息,并且携带压缩文件,内含恶意PE文件。代表样本如下:


附件内容如下:


(2)通知提醒

还有部分木马附件样本,内容上为付款相关确认文件信息,并且携带压缩文件,内含恶意PE文件。代表样本如下:


附件内容检测结果如下:


目前启发式规则库已支持对该类邮件的检测,配合沙箱联动处理能达到预期拦截效果。

防护建议

✅ 1.警惕携带压缩附件的邮件,如果是陌生发件人,一律不要点击。

✅ 2.部署邮件网关类安全防护产品。

文中所涉及样本IOC
  • Domain
    https[:][/][/]app51fapiao.cn:8888http[:][/][/]laobaole[.]cn

  • IP

    216.83.46.195

  • Hash

    ad0d632eee381739880d136c625a0ed0589c9c745d9d75a968f3b5531086e19d3a266bdbedde3a4652387352f3776ca9c408197b0aec41ee8f241a97edf4ac263d2ceaaa66a142c37a35b5b0d611217198660675ba7764ea3615f2ee7396843a501d3cf45b2e5f286dd21e02529da71fa686ade8238453e5ba7af9ff7d6ab558

  • PDB路径F:\NMC\CURRENT260dailyBuild14596_finalTry2\Libraries\WzAddrBook\w64prod\WzCABCacheSyncHelper64.pdb

供稿团队:

天空卫士安全响应中心邮件安全小组