2022年1月，CACTER郵件安全&中睿天下聯合推出《2021年Q4企業郵箱安全報告》。

報告對去年11-12月偵測到大規模Emotet病毒郵件攻擊進行了解讀，根據當時的攻擊規模和手法可以判斷當時的攻擊範圍廣泛，根據病毒溯源懷疑為攻擊者TA551組織。

儘管當時風波漸漸平息，但隨著春節假期的結束，全國復工有序進行，CAC郵件安全大資料中心在今年2月份通過檢測與客戶舉報再次監測到了一批關於Emotet病毒郵件，影響行業包含外貿、金融、網際網路、製造業等。

從以上郵件案例看，攻擊者對近期舉辦的某冰雪賽事“關基單位”發起釣魚攻擊，企圖引誘使用者點選名為“AD-3938 report.xls ”的附件。

此xls附件開啟並啟用巨集後，將會自動執行惡意的VBA程式碼，VBA程式碼利用WMI啟動 Powershell程式碼，向 http:// santafetortilla.com/_ba ks/tUx9/ 發起惡意的http請求，URL關聯惡意軟體的回連IP為8.9.11.48。

目前，CACTER郵件安全已將郵件樣本反饋給相關反病毒廠商協助跟進，同時與中睿天下合作進行溯源工作。

值此北京冬季奧運會期間，我們也建議廣大使用者做好個人電腦的安全防護，不要點選陌生郵件裡面的附件或者連結，可在本地PC安裝防毒軟體，防止病毒進一步擴散。

接下來，CACTER郵件安全也將從如何做好釣魚演練、重保安全準備建議、中睿天下溯源分享三方面進行分享，快來加強郵件安全防護吧。

一、做好釣魚演練

為降低重保期間的事故發生率，CACTER郵件安全團隊強烈建議關基單位定期開展1-2場反釣魚演練。據統計，在沒有進行過安全意識培訓和模擬社會工程演練的前提條件下，不管身處什麼行業，每個企業都面臨嚴重的資訊洩露風險。

Coremail反釣魚演練包含 100+基本場景模板，覆蓋疫情、商業詐騙等熱門主題，還可以根據客戶實際情況以及時事熱點定製主題。

釣魚演練結束後，將輸出專業的分析報告，從多個維度分析使用者演練結果，使用者行為趨勢一目瞭然。

二、重保期間的郵件安全建議

CACTER重大活動安全保障服務-簡稱重保服務，是指在重要會議或重大活動期間，通過明確的職責分工與協作，貫穿重大節點期間事前- 事中 - 事後安全運維全過程，提供包括但不限於保障郵件系統安全、郵件系統版本、弱密碼高危賬戶排查等專項的郵件安全保障服務。

重保期間嚴防三個層面，確保一個安全，除了可使用CACTER郵件安全重保服務外，我們還提供以下建議，儘可能為客戶降低系統性風險。

為您做到事前、事中、事後全方位防護，及時發現並排除郵件安全異常，為您保駕護航。

三、中睿天下樣本溯源分享

典型釣魚除了利用近期舉辦的冰雪賽事作為熱點進行釣魚攻擊，新冠疫情也是攻擊者偏好的重點釣魚主題。

如圖所示，根據CACTER郵件安全提供的樣本，中睿天下對該疫情主題的emotet郵件進行了一系列溯源工作。

01 發件人分析：

根據現有資訊對發件人t-pimpa@kenmin.co.th的發件域進行分析，該域名的服務商為THNIC，spf記錄設定為軟拒絕，由於無郵件原始碼，不能確定是否偽造傳送，查詢不到其他相關資訊。解析的IP地址為103.15.144.39，此IP地址為泰國曼谷IP，僅開放4370埠，未能探測到是什麼服務。

02 附件分析：

郵件的附件為加密壓縮包，使用正文中密碼解壓後為含有惡意巨集的xls文件，執行後會在C:\programdata資料夾下生成兩個指令碼，yhjlswle.vbs和ughldskbhn.bat，指令碼執行後會訪問hxxp:// http:// royalsnackmyanmar.com/w p-includes/GMtz6DxM/ 下載第二階段的遠控程式GMtz6DxM.dll，通過執行GMtz6DxM.dll回連C&C地址185.248.140.40獲取主機許可權，該地址被威脅情報平臺標記為殭屍網路。通過樣本的名字、回連地址等資訊，未關聯到其他有價值樣本。

圖 Covid Test Results.xls執行結果

圖二階遠控程式託管網站

GMtz6DxM.dll的沙箱結果

對C&C地址185.248.140.40進行分析，該IP當前解析的域名為 http:// ichweissja.net 以及 http:// ichweissja.net 的多個子域名，域名的註冊商為德國的PSI-USA, Inc. dba Domain Robot，無其他有價值資訊。

IP開放的埠：其中80、443埠以無法正常訪問，8080埠搭建了一個開源遊戲服務管理介面

復工進行時：警惕重保期間的emotet病毒郵件

03 最終結果

初步判斷該郵件是登入泰國的郵箱偽造From欄位發出，通過郵件的方式來傳播木馬，木馬在除錯過程中需要的環境很苛刻，個人虛擬機器以及很多公網沙箱都未能成功執行一階木馬所生成的檔案，執行過程中提示缺少dll檔案，不能與二階木馬託管平臺建立連線成功的獲取主機許可權，很難成功釣魚。由此可以看出木馬製作不夠精緻，回連IP被標記為殭屍網路，推斷該郵件應為國外黑產組織所傳送，如需進一步溯源可嘗試獲取回連主機許可權。