“游蛇”大规模邮件攻击针对中国用户

近半年黑客团伙频频对我国实施攻击活动。研究人员发现，“游蛇”黑产团伙自2022年下半年开始至今，针对中国用户发起了大规模电子邮件攻击活动。

黑客使用电子邮件在内的多种传播方式。

该团伙利用钓鱼邮件、伪造的电子票据下载站、虚假应用程序下载站、社交软件等多种途径传播恶意程序。

恶意程序运行后从攻击者服务器中获取多个载荷文件，利用“白加黑”的方式，借助NetSarang系列工具更新程序、腾讯游戏相关程序等加载恶意载荷，使用COM组件创建计划任务，经过多层解码后在内存中释放执行Gh0st远控木马变种。

黑客通过钓鱼邮件传播恶意程序，邮件主题通常与电子发票相关。

黑客将恶意程序伪装成看似正常的电子发票，发送给企业机构相关人员，非常具有迷惑性。

“发票明细”是一个超链接，指向攻击者伪造的电子票据下载站，网站提供下载的压缩包内含恶意程序。一旦用户下载，该团伙将获取对受害主机的控制权，然后对受害主机进行远程操控，冒充受害者利用社交软件发送恶意程序，使恶意程序传播到关联的其他用户，比如同事、客户、合作伙伴等，进一步扩大传播面。

该团伙手段多样，具有很强的迷惑性。

除此之外，黑客还会针对不同用户和合作内容使用其他标题，如对账单、申请表、货物明细、对接报表、报价单、安装包等。

防范此类攻击，小编建议：

1、加强账号管理及自查。关键系统、重要账号登录应设置唯一独立且由数字+字母+符号的高强度密码，避免发生弱口令、访问权限被盗或外泄，同时防范撞库攻击等账户安全风险。

2、企业安全管理人员，将有危害的邮箱地址加入反垃圾邮件系统阻拦样本库，进行垃圾邮件过滤。

3、企业尽快组织员工进行安全意识培训，教育员工不轻信来源不明的邮件和网站，当面对不明邮件时，不打开不查看，并及时向安全部门反映情况，减少可能对企业造成的影响。

4、定期对员工进行必要的网络安全知识普及，让员工提高警惕，不轻信来源不明的电子邮件和地址链接，如发现异常及时向有关部门反映，将损失降到最低。

5、发送重要邮件时，尽量加密方式发送，对重要的邮件数据进行备份归档。当用户在发送加密邮件的同时，也将储存在服务器中的邮件进行了高强度加密，即使黑客入侵服务器也无法还原真实邮件内容。

无论是企业还是个人都要加强自身防护能力，尤其是重要企业、涉密机构有必要借助第三方技术手段部署网络安全、数据安全整体防护策略，增强自主防御能力，避免因网络攻击造成的数据泄露。