安全响应中心 — 垃圾邮件事件报告（5.16）

2023年5月 第二周

 一. 样本概况

✅ 类型1：二维码钓鱼(QRPhish)

利用二维码进行的钓鱼、投毒，成为目前常见的邮件攻击手段之一，该类二维码主要存在于网络链接图片、邮件内容图片、附件图片中。

近日，安全团队捕获到一类基于员工福利、节日礼品的二维码钓鱼邮件。攻击者打着“员工福利”之类的名号，降低防备心，将二维码放在邮件正文中或者附件中，再加上精心准备的钓鱼界面，稍有不慎就泄露自己的银行卡号密码等，最终被攻击者利用，造成敏感信息泄露个人经济损失。部分样本如下：

相较于薪资补贴、个人所得税申报等二维码钓鱼邮件，这类邮件在发件人成功伪造收件人相同邮件域账户的情况下，很多收件人认为是公司内部邮件而放松警惕，目前有企业员工上当受骗。

目前ASEG反欺诈策略能精确识别发件人是否为伪造的企业邮件账户，启发式规则库已提取该类邮件特征，能进行拦截，并处于持续优化更新中。

✅ 类型2：链接钓鱼(URLPhish)

该类钓鱼邮件主要通过伪造IT信息部门的邮件内容提醒用户邮箱账号异常登录、账户限制、账户停用及安全升级等。常见于攻防演练期间钓鱼攻击，APT钓鱼攻击等。部分样本如下：

目前启发式规则库支持对该类邮件全方面拦截，检测点包括但不限于：用户名伪造检测、发件域信誉、HELO、EHLO、rDNS、RBL、内置钓鱼模板匹配度、恶链、0day-Phish等等。

✅ 类型3：木马附件(Trojan)

近期，安全团队也捕获到携带 Kryptik 木马附件的恶意邮件，内容上为订单、发票单、询价等业务相关信息，并且携带压缩文件，内含恶意PE文件。部分样本如下：

Product_xxxxx.zip

发票和账单.rar

目前启发式规则库已支持对该类邮件的检测，配合沙箱联动处理能达到预期拦截效果。

二. 防护建议

✅ 1.企业单位邮件域配置SPF记录，预防内部账号伪造

✅ 2.警惕包含以下内容的特定邮件

• 使用“xx部门”、“公司财务”等用户名的发件人；
• 非工作时间发送的邮件，联系发件人确认真实性；
• 包含“薪资补贴”、“福利”、“订单”、“询价”及“票据”等关键词的邮件主题；
• 包含“您好，xx”、“尊敬的xx”等泛化问候词的邮件内容；
• 包含“邮箱备案”、“状态异常”、“安全升级”等伪造IT信息部门发送的邮件内容；
• 携带未知网页链接或附件，在不确定安全性时不要点击；

✅ 3.部署邮件网关类安全防护产品

文中所涉及样本IOC

• Domainhttps[:][/][/]uczh7ndym6dctphixyf7huvqyqjwjrw53eznak6wrvcu6fihi-ipfs-w3s-link[.]translate[.]googhttp[:][/][/]mailrnail[.]cnhttp[:][/][/]pmail[.]araguanli[.]com
• IP
  103.24.1.137
• MD
  588c1e6ebedea07e6f1ce8d2a7ef53d1e69f4cbd03a083c3b0eaa8581df258348

供稿团队：

天空卫士安全响应中心邮件安全小组