2023年6月 第二周

样本概况

✅ 类型1：

携带钓鱼链接的伪造传票邮(URLPhish)

近期，安全团队捕获到一类新的伪造51某票的钓鱼邮件，内容上为伪造的律师事务所传票信息，并诱导收件人点击钓鱼链接。代表样本如下：

结合情报分析，该域名下存在过恶意压缩文件，木马家族为FlyStudio，猜测该攻击团队也是通过携带恶意压缩附件的形式开展钓鱼活动。

目前启发式规则库已支持对该类邮件的检测。

✅ 类型2：推销广告类邮件(Spam)

这类邮件多以代开发票、银行贷款、租赁店铺等为由，留下联系方式。通常是大批量群发，抢占邮箱配额空间，98%以上的用户都将此类邮件标记为垃圾邮件。部分样本如下：

这类样本属于天空卫士邮件安全团队长期关注、捕获的样本集，启发式规则库自2021年4月份就已支持检测该类型的样本，并且处于持续优化中。

✅ 类型3：木马附件(Trojan)

（1）员工涨薪

警惕这类恶意邮件，内容上为员工涨薪相关信息，并且携带压缩文件，内含恶意PE文件。代表样本如下：

附件内容如下：

（2）通知提醒

还有部分木马附件样本，内容上为付款相关确认文件信息，并且携带压缩文件，内含恶意PE文件。代表样本如下：

附件内容检测结果如下：

目前启发式规则库已支持对该类邮件的检测，配合沙箱联动处理能达到预期拦截效果。

防护建议

✅ 1.警惕携带压缩附件的邮件，如果是陌生发件人，一律不要点击。

✅ 2.部署邮件网关类安全防护产品。

文中所涉及样本IOC

Domain
https[:][/][/]app51fapiao.cn:8888http[:][/][/]laobaole[.]cn

IP

216.83.46.195

Hash

ad0d632eee381739880d136c625a0ed0589c9c745d9d75a968f3b5531086e19d3a266bdbedde3a4652387352f3776ca9c408197b0aec41ee8f241a97edf4ac263d2ceaaa66a142c37a35b5b0d611217198660675ba7764ea3615f2ee7396843a501d3cf45b2e5f286dd21e02529da71fa686ade8238453e5ba7af9ff7d6ab558

PDB路径F:\NMC\CURRENT260dailyBuild14596_finalTry2\Libraries\WzAddrBook\w64prod\WzCABCacheSyncHelper64.pdb

供稿团队：

天空卫士安全响应中心邮件安全小组