本文来自微信公众号“商务密邮”。
近半年黑客团伙频频对我国实施攻击活动。研究人员发现,“游蛇”黑产团伙自2022年下半年开始至今,针对中国用户发起了大规模电子邮件攻击活动。
黑客使用电子邮件在内的多种传播方式。
该团伙利用钓鱼邮件、伪造的电子票据下载站、虚假应用程序下载站、社交软件等多种途径传播恶意程序。
恶意程序运行后从攻击者服务器中获取多个载荷文件,利用“白加黑”的方式,借助NetSarang系列工具更新程序、腾讯游戏相关程序等加载恶意载荷,使用COM组件创建计划任务,经过多层解码后在内存中释放执行Gh0st远控木马变种。
黑客通过钓鱼邮件传播恶意程序,邮件主题通常与电子发票相关。
黑客将恶意程序伪装成看似正常的电子发票,发送给企业机构相关人员,非常具有迷惑性。
“发票明细”是一个超链接,指向攻击者伪造的电子票据下载站,网站提供下载的压缩包内含恶意程序。一旦用户下载,该团伙将获取对受害主机的控制权,然后对受害主机进行远程操控,冒充受害者利用社交软件发送恶意程序,使恶意程序传播到关联的其他用户,比如同事、客户、合作伙伴等,进一步扩大传播面。
该团伙手段多样,具有很强的迷惑性。
除此之外,黑客还会针对不同用户和合作内容使用其他标题,如对账单、申请表、货物明细、对接报表、报价单、安装包等。
防范此类攻击,商务密邮建议:
1、加强账号管理及自查。关键系统、重要账号登录应设置唯一独立且由数字+字母+符号的高强度密码,避免发生弱口令、访问权限被盗或外泄,同时防范撞库攻击等账户安全风险。
2、企业安全管理人员,将有危害的邮箱地址加入反垃圾邮件系统阻拦样本库,进行垃圾邮件过滤。
3、企业尽快组织员工进行安全意识培训,教育员工不轻信来源不明的邮件和网站,当面对不明邮件时,不打开不查看,并及时向安全部门反映情况,减少可能对企业造成的影响。也可使用商务密邮企业通讯录和邮件水印功能,快速分辨出伪装的钓鱼垃圾邮件。
4、定期对员工进行必要的网络安全知识普及,让员工提高警惕,不轻信来源不明的电子邮件和地址链接,如发现异常及时向有关部门反映,将损失降到最低。
5、发送重要邮件时,尽量使用商务密邮国密加密方式发送,对重要的邮件数据进行备份归档。当用户在发送加密邮件的同时,也将储存在服务器中的邮件进行了高强度加密,即使黑客入侵服务器也无法还原真实邮件内容。
6、企业应部署商务密邮邮件防泄露系统(DLP),一旦有涉密邮件外发,可及时阻断、告警、审批,有效防止员工无意或恶意将内部涉密数据泄露。
无论是企业还是个人都要加强自身防护能力,尤其是重要企业、涉密机构有必要借助第三方技术手段部署网络安全、数据安全整体防护策略,增强自主防御能力,避免因网络攻击造成的数据泄露。