ASRC 2020年第二季度郵件安全觀察
責(zé)編:gltian |2020-08-06 17:03:392020 年第二季度,全球仍然籠罩在新冠肺炎的疫情中,疫情的影響程度已遠(yuǎn)超第一季度。許多企業(yè)開始采取遠(yuǎn)程居家的辦公模式,以確保公司員工的健康以及特定服務(wù)項(xiàng)目的正常運(yùn)作。工作模式的改變加重了對(duì)網(wǎng)絡(luò)的依賴程度,也因?yàn)槿伺c人彼此見不到面,各種詐騙、網(wǎng)絡(luò)安全漏洞就容易被攻擊者所利用。以下簡要分享守內(nèi)安與 ASRC 研究中心 (Asia Spam-message Research Center) 第二季度郵件安全觀察概況。
偽造釣魚郵件較上一季度增加,出現(xiàn)不少偽造企業(yè)管理者發(fā)送的釣魚郵件
本季度偽造企業(yè)組織通知、收貨確認(rèn)通知等釣魚郵件明顯增多,較上季度大約增長了 24%,并且集中在六月。其中為大多數(shù)的是偽造企業(yè)管理者發(fā)送郵件賬號(hào)密碼相關(guān)問題的釣魚郵件,會(huì)在收件人點(diǎn)擊鏈接后導(dǎo)向釣魚頁面,這個(gè)釣魚頁面通常寄宿于被入侵的 WordPress 網(wǎng)站;其次為假的語音與文件發(fā)送通知,這些通知除了部分寄宿于被入侵的 WordPress 網(wǎng)站,部分則是使用免費(fèi)的窗體或網(wǎng)站生成器作為釣魚頁面,還有少量直接夾帶惡意附件;最后是假的貨物運(yùn)送或商業(yè)交易確認(rèn),部分寄宿于被入侵的 WordPress 網(wǎng)站、還有部分則直接將釣魚頁面的 HTML 放在附件文件內(nèi)試圖避開瀏覽器對(duì)網(wǎng)址的警示與檢查,還有一部分則是直接夾帶以 rar 壓縮后的惡意執(zhí)行文件。
?
釣魚頁面通常寄宿于被入侵的 WordPress 網(wǎng)站
病毒郵件數(shù)量明顯增加,夾帶惡意鏡像文件或壓縮格式文件居多
病毒郵件數(shù)量較上一季度增長了約 60%,同樣集中在六月。以夾帶惡意 .img 文件為多,占了總量 1/3 以上。這些 .img 文件中包含了一個(gè)惡意 .exe 可執(zhí)行文件,在 Windows 環(huán)境下被雙擊后,會(huì)自動(dòng)掛載成為一個(gè)虛擬光盤,便可讀取其中的 .exe 文件;此外,網(wǎng)絡(luò)上也有人教學(xué)如何以 7-zip 解出鏡像文件內(nèi)的內(nèi)容,若收到此類惡意攻擊時(shí)缺乏安全意識(shí),而以如何開啟該類文件的目的在網(wǎng)絡(luò)上尋找答案,也可能因此涉險(xiǎn)!
在第二季度,比較特別的是病毒郵件常用的壓縮文件格式分別為 .ace 與 .rar,甚至比 Windows 內(nèi)能解壓縮的.zip壓縮格式還要多。WinRAR 自 2015 年即對(duì)中國個(gè)人用戶開放免費(fèi),許多中國的 PC 安裝完成后也會(huì)安裝免費(fèi)的 WinRAR 作為預(yù)設(shè)的壓縮或解壓縮的工具;但是自 CVE-2018-20250、CVE-2018-20251、CVE-2018-20252、CVE-2018-20253 被揭露以來,常見的免費(fèi)或可免費(fèi)試用的解壓縮軟件諸如:WinRAR、7-Zip、Peazip 等,均已不再支持 .ace 的解壓縮,.ace 的病毒附件會(huì)不會(huì)是刻意面向某些人群?值得玩味。
夾帶 .ace 壓縮文件的病毒郵件仍四處散播
來自新域名的郵件,假藉口罩售賣進(jìn)行詐騙
全球第二季度仍在新冠肺炎的籠罩之中,許多地區(qū)對(duì)于口罩的供應(yīng)還是匱乏,第二季度我們發(fā)現(xiàn)有許多口罩銷售的電子郵件,指向一些新注冊(cè)的域名。這些域名注冊(cè)的時(shí)間都在半年內(nèi),甚至更短,并且在一段時(shí)間后就無法訪問,極可能是詐騙。這類郵件較上一季度增長了約3.7倍,集中在六月。
?
口罩銷售的電子郵件,指向一些新注冊(cè)的域名
漏洞利用在四月達(dá)到高峰,受國家資助的 APT 族群利用疫情發(fā)動(dòng)郵件攻擊
附件使用已被揭露的 Office 漏洞的電子郵件攻擊,在四月份達(dá)到高峰。
受到國家資助支持的 APT 族群,也在5月頻繁地嘗試以電子郵件發(fā)動(dòng)攻擊,且大多假藉疫情的議題發(fā)送公告通知、口罩相關(guān)信息,或偽冒 CDC 免費(fèi)分發(fā)防疫物資,要求相關(guān)人員開啟并填寫附件調(diào)查表,藉以誘導(dǎo)收件者開啟惡意附件!
總結(jié)
我們綜合整理了第二季度惡意郵件社交工程特征,其中一大部分是促使人“發(fā)急”,例如:很急的訂單、要求盡快回復(fù)或查看附件、電子郵件有狀況將被停用、被入侵了等。因?yàn)楹芗保院罄m(xù)的作為就可能脫離原有的標(biāo)準(zhǔn)作業(yè)流程,加上遠(yuǎn)程辦公的因素,再確認(rèn)的工作可能因此變得難以落實(shí),就很容易落入攻擊者的陷阱。遠(yuǎn)程辦公期間,別忘了“急事緩辦,事緩則圓”,對(duì)于任何有疑慮的郵件都應(yīng)當(dāng)給予最小的信任,充分再確認(rèn)才能免除后續(xù)網(wǎng)絡(luò)安全危機(jī)。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!