安全响应中心 — 垃圾邮件事件报告(6.5)

news2024/12/23 10:10:09

2023年6月 第二周

样本概况

✅ 类型1:

携带钓鱼链接的伪造传票邮(URLPhish)

近期,安全团队捕获到一类新的伪造51某票的钓鱼邮件,内容上为伪造的律师事务所传票信息,并诱导收件人点击钓鱼链接。代表样本如下:

在这里插入图片描述

结合情报分析,该域名下存在过恶意压缩文件,木马家族为FlyStudio,猜测该攻击团队也是通过携带恶意压缩附件的形式开展钓鱼活动。

在这里插入图片描述

目前启发式规则库已支持对该类邮件的检测。

✅ 类型2:推销广告类邮件(Spam)

这类邮件多以代开发票、银行贷款、租赁店铺等为由,留下联系方式。通常是大批量群发,抢占邮箱配额空间,98%以上的用户都将此类邮件标记为垃圾邮件。部分样本如下:

在这里插入图片描述

这类样本属于天空卫士邮件安全团队长期关注、捕获的样本集,启发式规则库自2021年4月份就已支持检测该类型的样本,并且处于持续优化中。

✅ 类型3:木马附件(Trojan)

(1)员工涨薪

警惕这类恶意邮件,内容上为员工涨薪相关信息,并且携带压缩文件,内含恶意PE文件。代表样本如下:

在这里插入图片描述

附件内容如下:

在这里插入图片描述

(2)通知提醒

还有部分木马附件样本,内容上为付款相关确认文件信息,并且携带压缩文件,内含恶意PE文件。代表样本如下:
在这里插入图片描述

附件内容检测结果如下:

在这里插入图片描述

目前启发式规则库已支持对该类邮件的检测,配合沙箱联动处理能达到预期拦截效果。

防护建议

✅ 1.警惕携带压缩附件的邮件,如果是陌生发件人,一律不要点击。

✅ 2.部署邮件网关类安全防护产品。

文中所涉及样本IOC

Domain
https[:][/][/]app51fapiao.cn:8888http[:][/][/]laobaole[.]cn

IP

216.83.46.195

Hash

ad0d632eee381739880d136c625a0ed0589c9c745d9d75a968f3b5531086e19d3a266bdbedde3a4652387352f3776ca9c408197b0aec41ee8f241a97edf4ac263d2ceaaa66a142c37a35b5b0d611217198660675ba7764ea3615f2ee7396843a501d3cf45b2e5f286dd21e02529da71fa686ade8238453e5ba7af9ff7d6ab558

PDB路径F:\NMC\CURRENT260dailyBuild14596_finalTry2\Libraries\WzAddrBook\w64prod\WzCABCacheSyncHelper64.pdb

供稿团队:

天空卫士安全响应中心邮件安全小组

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/615329.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

医院检验系统LIS系统源码

医院检验系统LIS是HIS系统的一个重要的组成部分,其主要功能是将检验的实验仪器传出的检验数据经分析后,生成检验报告,通过网络存储在数据库中,使医生能够方便、及时的看到患者的检验结果,从现在的应用来看,…

开发物联网平台需要多少费用?

物联网开发技术是当今最热门的技术之一,在许多领域都有巨大的商业价值。随着物联网技术的迅速发展,这对企业来说是一个很好的机会,可以充分利用这些技术来提高其效率和生产力。 那么,开发物联网平台需要多少钱呢?答案是…

Linux工具之htop(含移植到arm-linux系统)

文章目录 介绍安装使用一些参数讲解功能键说明一些快捷键一些指令参数 拓展:Linux进程PRI与NI值拓展:VIRT(虚拟内存)RES(常驻内存)和SHR(共享内存)拓展:编译成应用放到开发板上使用源码下载解压编译 介绍 Htop是一个免费的(GPL&a…

毕业2年,月薪就有30K,太卷了吧......

想起两年前交流过的一个应届生,当时他刚毕业技术水平不高,进了一个小公司做软件测试实习工作。最近联系上了,不问不知道,一问吓一跳,他现在已经进了某一线大厂,月薪30K。这位朋友其实也没比别人强多少&…

708教室使用方法

一、教室平面图 708教室的布局如下,重要的设备已经在图中标出。总开关、一体机和机柜。   二、使用方法 2.1 房间机器上电 进门后首先走到“总开关位置”,将电匝闭合。 原来的开关如图所示,有3组开关,1号组开关用于控制插座、…

小程序自动化测试

背景 近期团队打算做一个小程序自动化测试的工具,期望能够做到业务人员操作一遍小程序后,自动还原之前的操作路径,并且捕获操作过程中发生的异常,以此来判断这次发布是否会影响小程序的基础功能。 上述描述看似简单,…

为什么黑客要攻击你的网站?如何才能保护网站不被攻击?

根据2023年一季度应用程序安全状况报告所披露的报告,今年来全球已经累计有超过1400多万个网站遭受了超过10亿次网络攻击,网络的安全风险依然在逐年不断提升。 几乎每个网站都面临风险,无论是简单的博客论坛、投资平台、小型的独立电商网站还是…

无需服务器,5分钟在公众号中接入ChatGPT

前言 在原先使用openAI的接口分别实现过微信聊天,语音对话等功能的基础上,我又将矛头指向了公众号,最近在github中找到了一个挺好玩的案例:公众号机器人,于是打算分享一下整个搭建过程 准备工作 微信公众号AirCode账…

三、基尔霍夫定理

目录 基本概念 基尔霍夫电流定理(KCL) 基尔霍夫电压定理(KVL) 总结 基本概念 1.支路 定义1:电路中每一个两端元件就称为一条支路 定义2:电路中通过同一电流的分支 2.结点 定义1:元件的连接…

spring实例化bean之循环依赖

serviceA里注入了serviceB,serviceB里又注入了serviceA,这样在实例化serviceA时,在doCreateBean时的populateBean时会先实例化serviceB,然后实例化serviceB,在serviceB的doCreateBean方法的populateBean又会去找servci…

什么是Linux shell—一个简单的案例

一句话概括:简单来说脚本就是将需要执行的命令保存到文本中,按照顺序执行(由上往下执行),shell脚本:shell脚本就是一些命令的集合。 一、创建第一个Shell脚本:输出helloworld 1.脚本格式 脚本…

(转载)基于遗传模拟退火的聚类算法(matlab实现)

1 理论基础 1.1 模糊聚类分析 模糊聚类是目前知识发现以及模式识别等诸多领域中的重要研究分支之一。随着研究范围的拓展,不管是科学研究还是实际应用,都对聚类的结果从多方面提出了更高的要求。模糊C-均值聚类(FCM)是目前比较流行的一种聚类方法。该…

【不单调的代码】还在嫌弃Ubuntu终端?快来试试做些Ubuntu终端的花式玩法。

🎊专栏【​​​​​​​不单调的代码】 🍔喜欢的诗句:更喜岷山千里雪 三军过后尽开颜。 🎆音乐分享【Love Story】 🥰大一同学小吉,欢迎并且感谢大家指出我的问题🥰 注意: 本文是在…

【Protobuf速成指南】Protobuf快速上手

文章目录 1.0版本一、编写.proto文件1.文件规范:2.注释方式:3.指定proto3语法:4.package申明符5.定义message6.编写消息字段①类型对照表②唯一编号 二、编译.proto文件1. 编译指令2.源码分析 三、序列化和反序列化的使用四、小结 1.0版本 本…

TCP连接管理与UDP协议

一、TCP的连接管理 1.TCP包头 2.连接的建立——“三次握手” TCP 建立连接的过程叫做握手。 采用三报文握手:在客户和服务器之间交换三个 TCP 报文段,以防止已失效的连接请求报文段突然又传送到了,因而产生 TCP 连接建立错误。 3.连接的释放…

【智能座舱】— 看上海车展,高端品牌变局,时代变天早开始,40项智能化创新技术解密~

大家好,欢迎阅读本期文章,我们将带您解读一份极具实用价值的汽车研究报告。本期将聚焦于2023年上海车展,解密未来座舱发展技术脉络 在本期文章中,我们将深度探讨这些前沿技术的应用,为您呈现未来汽车的全景图。我们相信,这将有助于您更加准确地选择适合自己的新能源汽车…

Kafka测试实战:从基础入门到高阶技巧(建议收藏)

Kafka是一种高吞吐量的分布式发布-订阅消息系统,它可以处理所有活动流数据。在进行Kafka的测试时,我们需要验证生产者能否成功发送消息,消费者能否成功消费消息。在本文中,我们将使用Python来进行Kafka的测试,并提供从…

pytorch实战 -- 数据加载和处理

Pytorch提供了许多工具来简化和希望数据加载,使代码更具可读性。这里将专门讲述transforms数据预处理方法,即数据增强。 数据增强又称为数据增广、数据扩增,它是对训练集进行变换,使训练集更丰富,从而让模型更具泛化能…

POWERBUILDER中高级学习提纲

Chengg0769 2012年 版权来自于: www.mis2erp.com http://blog.csdn.net/chengg0769 http://www.haojiaocheng.cc 转载请保留以上信息 这个提纲的来由: 当时,有个朋友说因伤疗养,想从过去做维护变为做开发,想学习…

从裸机启动开始运行一个C++程序(四)

先序文章请看 从裸机启动开始运行一个C程序(三) 从裸机启动开始运行一个C程序(二) 从裸机启动开始运行一个C程序(一) 跳转 前面我们介绍过,8086CPU总是在执行CS:IP所对应的内存位置的指令&…