一、 郵件攻擊應急響應典型案例

基於縱橫隨心郵安全團隊處理的應急響應事件，整理的典型案例。

（一） 某國有企業郵箱系統遭受攻擊

2019年11月8日，某大型國有企業資訊化中心陸續接到員工反饋，收到管理員賬號傳送的疑似OA釣魚郵件。根據員工反饋的截圖顯示，郵件傳送方為公司內部管理員以集團資訊管理部名義向全員傳送的“集團通知！”郵件，要求全員點選郵件中地址進行備案。該“郵箱升級稽核系統”要求員工輸入使用者名稱、登入地址、郵箱密碼等資訊。經評估，本次釣魚郵件洩露資訊疑似為包括集團領導在內的200名員工郵箱、聯絡方式及公司組織架構，以及十餘名員工郵箱內的全部郵件內容。

該機構在安服人員建議下，啟動備份郵件系統，向全員傳送安全提醒，並更改郵箱密碼，並將該管理員使用者加入黑名單進行攔截。進一步分析發現，由於管理員使用弱口令，攻擊者早在11月5日便獲得了管理員許可權，至11月8日才利用管理員賬號傳送釣魚郵件。期間三天，攻擊者是否進行了其他操作還需要進一步調查。

（二） 某外貿製造企業因釣魚郵件損失20萬美元

2019年7月，某大型製造企業向安全機構求助，該外貿企業在向客戶傳送收款通知時，被客戶告知已經按要求付款完畢，並向該企業提供了當時的付款記錄、郵件記錄。而該企業相關人員表示從未傳送過該郵件，也無此郵件記錄，且收款賬號並不屬於該公司，可能是詐騙賬號。

後經應急響應人員鑑定，攻擊者早已入侵企業郵件伺服器，且已經長期潛伏在企業內網，及企業郵箱系統，幾乎完全控制了企業財務人員及業務人員郵箱，並利用相關員工郵箱，透過篡改收款人賬號資訊，傳送虛假的“收款郵件”。為防止被發現，攻擊者又在財務人員賬號中刪去了虛假的“收款郵件”，抹去記錄，從而使財務人員未能及時發現賬號被盜及被人盜發郵件的情況。此次事件導致該公司直接損失20萬美元。

進一步調查顯示，造成此次損失的主要原因有二，首先，該公司管理員賬號存在弱密碼；其次，公司郵箱系統設計上存在安全漏洞。應急後該企業在安服人員的建議下，要求全員更新賬號密碼，並棄用了原有郵箱系統，更換了專業的外貿企業郵箱服務商。

二、 大資料安全監測郵件攻擊典型案例

（一） 銀鉤：針對國內網銀使用者的釣魚攻擊活動

2019年6月，縱橫隨心郵安全研究團隊捕獲了一封釣魚郵件，郵件附件為eml檔案：“中華電信108年05月電子發票通知函_［發票號碼：NJ064242］。eml”。

從郵件內容可見，攻擊者為了引誘受害者開啟附件文件，故意將郵件中的兌獎方式標紅，使受害者有開啟電子發票檢視資訊的慾望。

而該附件使用了CVE-2018漏洞；透過多維度資料的關聯分析，確認本波攻擊的受害者主要集中在我國東南沿海一帶，受害者一般為外貿商人，且經常使用網銀。

從歷史監測資訊來看，此輪襲擊主要發生在2019年的4-5月間，其背後的黑產團伙對於武器部署、運用的經驗非常豐富。該團伙攻擊的最終目的是竊取電信和經商使用者的銀行賬號及其中的財產。

（二） Emotet銀行木馬攻擊利用技術分析

2019年9月縱橫隨心郵安全中心釋出了Emotet威脅預警。

經長期追蹤，縱橫隨心郵安全中心發現多個帶有惡意宏程式碼的Emotet魚叉攻擊郵件，郵件透過誘導使用者點選郵件中的啟用宏從而執行宏程式碼，利用PowerShell下載並執行下階段攻擊載荷，從而實施攻擊。具體攻擊模組功能包括OutLook資料竊取以及橫向滲透模組。

樣本執行流程如下：