本文來(lái)自微信公眾號(hào)“商務(wù)密郵”。
近半年黑客團(tuán)伙頻頻對(duì)我國(guó)實(shí)施攻擊活動(dòng)。研究人員發(fā)現(xiàn),“游蛇”黑產(chǎn)團(tuán)伙自2022年下半年開(kāi)始至今,針對(duì)中國(guó)用戶發(fā)起了大規(guī)模電子郵件攻擊活動(dòng)。
黑客使用電子郵件在內(nèi)的多種傳播方式。
該團(tuán)伙利用釣魚(yú)郵件、偽造的電子票據(jù)下載站、虛假應(yīng)用程序下載站、社交軟件等多種途徑傳播惡意程序。
惡意程序運(yùn)行后從攻擊者服務(wù)器中獲取多個(gè)載荷文件,利用“白加黑”的方式,借助NetSarang系列工具更新程序、騰訊游戲相關(guān)程序等加載惡意載荷,使用COM組件創(chuàng)建計(jì)劃任務(wù),經(jīng)過(guò)多層解碼后在內(nèi)存中釋放執(zhí)行Gh0st遠(yuǎn)控木馬變種。
黑客通過(guò)釣魚(yú)郵件傳播惡意程序,郵件主題通常與電子發(fā)票相關(guān)。
黑客將惡意程序偽裝成看似正常的電子發(fā)票,發(fā)送給企業(yè)機(jī)構(gòu)相關(guān)人員,非常具有迷惑性。
“發(fā)票明細(xì)”是一個(gè)超鏈接,指向攻擊者偽造的電子票據(jù)下載站,網(wǎng)站提供下載的壓縮包內(nèi)含惡意程序。一旦用戶下載,該團(tuán)伙將獲取對(duì)受害主機(jī)的控制權(quán),然后對(duì)受害主機(jī)進(jìn)行遠(yuǎn)程操控,冒充受害者利用社交軟件發(fā)送惡意程序,使惡意程序傳播到關(guān)聯(lián)的其他用戶,比如同事、客戶、合作伙伴等,進(jìn)一步擴(kuò)大傳播面。
該團(tuán)伙手段多樣,具有很強(qiáng)的迷惑性。
除此之外,黑客還會(huì)針對(duì)不同用戶和合作內(nèi)容使用其他標(biāo)題,如對(duì)賬單、申請(qǐng)表、貨物明細(xì)、對(duì)接報(bào)表、報(bào)價(jià)單、安裝包等。
防范此類攻擊,商務(wù)密郵建議:
1、加強(qiáng)賬號(hào)管理及自查。關(guān)鍵系統(tǒng)、重要賬號(hào)登錄應(yīng)設(shè)置唯一獨(dú)立且由數(shù)字+字母+符號(hào)的高強(qiáng)度密碼,避免發(fā)生弱口令、訪問(wèn)權(quán)限被盜或外泄,同時(shí)防范撞庫(kù)攻擊等賬戶安全風(fēng)險(xiǎn)。
2、企業(yè)安全管理人員,將有危害的郵箱地址加入反垃圾郵件系統(tǒng)阻攔樣本庫(kù),進(jìn)行垃圾郵件過(guò)濾。
3、企業(yè)盡快組織員工進(jìn)行安全意識(shí)培訓(xùn),教育員工不輕信來(lái)源不明的郵件和網(wǎng)站,當(dāng)面對(duì)不明郵件時(shí),不打開(kāi)不查看,并及時(shí)向安全部門(mén)反映情況,減少可能對(duì)企業(yè)造成的影響。也可使用商務(wù)密郵企業(yè)通訊錄和郵件水印功能,快速分辨出偽裝的釣魚(yú)垃圾郵件。
4、定期對(duì)員工進(jìn)行必要的網(wǎng)絡(luò)安全知識(shí)普及,讓員工提高警惕,不輕信來(lái)源不明的電子郵件和地址鏈接,如發(fā)現(xiàn)異常及時(shí)向有關(guān)部門(mén)反映,將損失降到最低。
5、發(fā)送重要郵件時(shí),盡量使用商務(wù)密郵國(guó)密加密方式發(fā)送,對(duì)重要的郵件數(shù)據(jù)進(jìn)行備份歸檔。當(dāng)用戶在發(fā)送加密郵件的同時(shí),也將儲(chǔ)存在服務(wù)器中的郵件進(jìn)行了高強(qiáng)度加密,即使黑客入侵服務(wù)器也無(wú)法還原真實(shí)郵件內(nèi)容。
6、企業(yè)應(yīng)部署商務(wù)密郵郵件防泄露系統(tǒng)(DLP),一旦有涉密郵件外發(fā),可及時(shí)阻斷、告警、審批,有效防止員工無(wú)意或惡意將內(nèi)部涉密數(shù)據(jù)泄露。
無(wú)論是企業(yè)還是個(gè)人都要加強(qiáng)自身防護(hù)能力,尤其是重要企業(yè)、涉密機(jī)構(gòu)有必要借助第三方技術(shù)手段部署網(wǎng)絡(luò)安全、數(shù)據(jù)安全整體防護(hù)策略,增強(qiáng)自主防御能力,避免因網(wǎng)絡(luò)攻擊造成的數(shù)據(jù)泄露。