2022重保進行時，Coremail郵件安全再次捕獲針對我司的釣魚郵件攻擊。

一、釣魚郵件攻擊回顧

這次紅隊選擇仿冒 Coremail IT運維部門，以新型勒索病毒LUNA氾濫需要打補丁升級為藉口，企圖引誘我司員工解壓帶木馬病毒的壓縮包。

該釣魚郵件顯然為紅隊針對Coremail精心製作，發件人域名仿冒十分逼真。

同時，為了避開CACTER郵件安全閘道器反垃圾檢查，將帶毒壓縮包的解壓密碼放置在名為【使用說明】的doc文件中。

然而， CACTER閘道器能夠拆解郵件附帶的文件型別的附件，包括PDF、word、Excel並執行文字指紋檢查，有效識別附件型的釣魚郵件。

此類釣魚郵件，將附件進行了加密壓縮，卻又可疑地將解壓密碼放置在doc文件，經過閘道器的檢測後判定為惡意郵件，將其直接攔截至隔離區。

根據Coremail郵件安全攻防專家分析，紅隊企圖使用釣魚郵件作為攻擊手段，控制Coremail辦公電腦，獲取內網的各種登入賬號和密碼，進而得到Coremail服務客戶的敏感資訊。

目前，Coremail已將此類郵件的相關特徵更新到反垃圾雲端特徵庫，同時公佈該郵件的發信IP，供各位客戶參考拉黑處理。

發信IP

115.124.20.159

115.124.20.183

115.124.20.205

115.124.20.207

115.124.20.217

119.38.133.70

119.38.133.72

補丁包.zip為惡意檔案加密壓縮包。解壓後setup.exe為cobaltstrike遠控木馬，進行了免殺處理。

根據某安全廠商線上雲分析顯示，setup.exe C2 地址為106.15.103.34

二、Coremail反釣魚演練經驗分享

儘管本次攻擊隊的釣魚攻擊十分用心，但Coremail 每年都會定時進行反釣魚演練。

在重保開始前，基於Coremail反釣魚演練平臺上100+釣魚模板，安全攻防專家組已根據公司各部門的業務特點，精心開展多輪針對性的演練，極大提升員工的安全意識。

以下為Coremail 實際演練情況展示。

在不定期多輪演練後，我司員工已經能夠很好地識別釣魚郵件，並且發現可疑郵件後不輕易點選任何連結及附件，並養成舉報至公司安全部門的良好習慣

據統計結果表明，在未開展釣魚演練的情況下，釣魚中招率平均值是 23.88％，這意味公司有超過五分之一的員工受到社會工程和網路釣魚欺詐的威脅。

而經過Coremail驗證，持續有計劃的釣魚演練可以使各行業的平均釣魚郵件中招率從 23.88％降至 4.16％

目前進行的攻防演練中，CAC郵件安全大資料中心（以下簡稱“CAC大資料中心”）已透過客戶反饋、發信行為分析、郵件內容特徵檢測、惡意URL檢測、附件檢測等多種方式，已經主動發現並處理了多起惡意郵件攻擊。

目前防護情況良好，總體平穩有序。

重保即將結束，Coremail再次提醒各廣大客戶，請勿放鬆警惕，實時注意防護釣魚郵件、病毒郵件攻擊。

三、Coremail建議防護策略

1、使用CACTER郵件安全閘道器提升防禦機制

2、定期進行反釣魚演練，提升全員安全意識

3、收到以上特徵的可疑郵件，建議用其他社交方式與發信人取得聯絡，若確認為病毒郵件，則立刻上報公司安全部門

4、此類加密壓縮的檔案，如果您一定要開啟，建議放到虛擬機器的測試環境（斷網）開啟。

5、為了能將病毒郵件與正常郵件行為有所區分，建議日常傳送加密壓縮附件時，應該以其他手段將密碼通知收件人，而不是放在正文。

6、若不小心點選了附件，建議馬上切斷中招PC的網路，並馬上聯絡安全部門清理上網環境。

7、個人PC安裝防毒軟體，並保持更新。