信息化觀察網(wǎng)

本文來自微信公眾號“商務密郵”。

近半年黑客團伙頻頻對我國實施攻擊活動。研究人員發(fā)現(xiàn)，“游蛇”黑產(chǎn)團伙自2022年下半年開始至今，針對中國用戶發(fā)起了大規(guī)模電子郵件攻擊活動。

黑客使用電子郵件在內(nèi)的多種傳播方式。

該團伙利用釣魚郵件、偽造的電子票據(jù)下載站、虛假應用程序下載站、社交軟件等多種途徑傳播惡意程序。

惡意程序運行后從攻擊者服務器中獲取多個載荷文件，利用“白加黑”的方式，借助NetSarang系列工具更新程序、騰訊游戲相關程序等加載惡意載荷，使用COM組件創(chuàng)建計劃任務，經(jīng)過多層解碼后在內(nèi)存中釋放執(zhí)行Gh0st遠控木馬變種。

黑客通過釣魚郵件傳播惡意程序，郵件主題通常與電子發(fā)票相關。

黑客將惡意程序偽裝成看似正常的電子發(fā)票，發(fā)送給企業(yè)機構(gòu)相關人員，非常具有迷惑性。

“發(fā)票明細”是一個超鏈接，指向攻擊者偽造的電子票據(jù)下載站，網(wǎng)站提供下載的壓縮包內(nèi)含惡意程序。一旦用戶下載，該團伙將獲取對受害主機的控制權(quán)，然后對受害主機進行遠程操控，冒充受害者利用社交軟件發(fā)送惡意程序，使惡意程序傳播到關聯(lián)的其他用戶，比如同事、客戶、合作伙伴等，進一步擴大傳播面。

該團伙手段多樣，具有很強的迷惑性。

除此之外，黑客還會針對不同用戶和合作內(nèi)容使用其他標題，如對賬單、申請表、貨物明細、對接報表、報價單、安裝包等。

防范此類攻擊，商務密郵建議：

1、加強賬號管理及自查。關鍵系統(tǒng)、重要賬號登錄應設置唯一獨立且由數(shù)字+字母+符號的高強度密碼，避免發(fā)生弱口令、訪問權(quán)限被盜或外泄，同時防范撞庫攻擊等賬戶安全風險。

2、企業(yè)安全管理人員，將有危害的郵箱地址加入反垃圾郵件系統(tǒng)阻攔樣本庫，進行垃圾郵件過濾。

3、企業(yè)盡快組織員工進行安全意識培訓，教育員工不輕信來源不明的郵件和網(wǎng)站，當面對不明郵件時，不打開不查看，并及時向安全部門反映情況，減少可能對企業(yè)造成的影響。也可使用商務密郵企業(yè)通訊錄和郵件水印功能，快速分辨出偽裝的釣魚垃圾郵件。

4、定期對員工進行必要的網(wǎng)絡安全知識普及，讓員工提高警惕，不輕信來源不明的電子郵件和地址鏈接，如發(fā)現(xiàn)異常及時向有關部門反映，將損失降到最低。

5、發(fā)送重要郵件時，盡量使用商務密郵國密加密方式發(fā)送，對重要的郵件數(shù)據(jù)進行備份歸檔。當用戶在發(fā)送加密郵件的同時，也將儲存在服務器中的郵件進行了高強度加密，即使黑客入侵服務器也無法還原真實郵件內(nèi)容。

6、企業(yè)應部署商務密郵郵件防泄露系統(tǒng)(DLP)，一旦有涉密郵件外發(fā)，可及時阻斷、告警、審批，有效防止員工無意或惡意將內(nèi)部涉密數(shù)據(jù)泄露。

無論是企業(yè)還是個人都要加強自身防護能力，尤其是重要企業(yè)、涉密機構(gòu)有必要借助第三方技術手段部署網(wǎng)絡安全、數(shù)據(jù)安全整體防護策略，增強自主防御能力，避免因網(wǎng)絡攻擊造成的數(shù)據(jù)泄露。