安全响应中心 — 垃圾邮件事件报告(6.5)

2023年6月 第二周

样本概况

✅ 类型1:

携带钓鱼链接的伪造传票邮(URLPhish)

近期,安全团队捕获到一类新的伪造51某票的钓鱼邮件,内容上为伪造的律师事务所传票信息,并诱导收件人点击钓鱼链接。代表样本如下:

在这里插入图片描述

结合情报分析,该域名下存在过恶意压缩文件,木马家族为FlyStudio,猜测该攻击团队也是通过携带恶意压缩附件的形式开展钓鱼活动。

在这里插入图片描述

目前启发式规则库已支持对该类邮件的检测。

✅ 类型2:推销广告类邮件(Spam)

这类邮件多以代开发票、银行贷款、租赁店铺等为由,留下联系方式。通常是大批量群发,抢占邮箱配额空间,98%以上的用户都将此类邮件标记为垃圾邮件。部分样本如下:

在这里插入图片描述

这类样本属于天空卫士邮件安全团队长期关注、捕获的样本集,启发式规则库自2021年4月份就已支持检测该类型的样本,并且处于持续优化中。

✅ 类型3:木马附件(Trojan)

(1)员工涨薪

警惕这类恶意邮件,内容上为员工涨薪相关信息,并且携带压缩文件,内含恶意PE文件。代表样本如下:

在这里插入图片描述

附件内容如下:

在这里插入图片描述

(2)通知提醒

还有部分木马附件样本,内容上为付款相关确认文件信息,并且携带压缩文件,内含恶意PE文件。代表样本如下:
在这里插入图片描述

附件内容检测结果如下:

在这里插入图片描述

目前启发式规则库已支持对该类邮件的检测,配合沙箱联动处理能达到预期拦截效果。

防护建议

✅ 1.警惕携带压缩附件的邮件,如果是陌生发件人,一律不要点击。

✅ 2.部署邮件网关类安全防护产品。

文中所涉及样本IOC

Domain
https[:][/][/]app51fapiao.cn:8888http[:][/][/]laobaole[.]cn

IP

216.83.46.195

Hash

ad0d632eee381739880d136c625a0ed0589c9c745d9d75a968f3b5531086e19d3a266bdbedde3a4652387352f3776ca9c408197b0aec41ee8f241a97edf4ac263d2ceaaa66a142c37a35b5b0d611217198660675ba7764ea3615f2ee7396843a501d3cf45b2e5f286dd21e02529da71fa686ade8238453e5ba7af9ff7d6ab558

PDB路径F:NMCCURRENT260dailyBuild14596_finalTry2LibrariesWzAddrBookw64prodWzCABCacheSyncHelper64.pdb

供稿团队:

天空卫士安全响应中心邮件安全小组

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码

)">
< <上一篇
下一篇>>