事关企业财务安全！360再次发布钓鱼攻击预警

今年二月，360数字安全发布了《数千企业财务中招！360发布新一轮钓鱼攻击预警》的分析播报。近日，360数字安全大脑监测到该攻击团伙又有新动向，新一轮钓鱼攻击链条更加完整，攻击者除用之前的方式部署远控木马外，还增加了文件窃取的功能，需要众多企业财务人员重点关注。

此次攻击者还是以“【电子发票】.exe”、“发----票.zip”、“发-票-资-料.zip”等为文件名称，除了通过即时通讯软件、邮件传播外，还利用了七牛测试域名、金山文档的共享链接方式传播远控木马，攻击目标为各类公司、企业、政府机构的财务人员，目前已监控到数千用户被攻击。
下图是攻击者使用的其中一个传播连接，攻击者通过文件共享功能，给受害者发送一个伪装成文档的木马程序。

360社区

以捕获到的其中一个木马为例，该木马以“发--资-料.zip”名称进行传播，压缩包内文件名称为“5005887.exe”，文件的图标与excel相似，易于迷惑用户。

360社区

这个木马程序，本身具有远控功能，除了常见的远控功能如文件传输、远控语音视频监听、键盘记录等，还会在执行时释放压缩打包工具rar.exe，然后利用rar.exe把本地的xlsx、txt、doc、png、xls、docx、ppt、jpg、jpeg等后缀的文件打包到名称为“data.rar”文件中。

360社区

随后把打包好的数据传送到攻击者的服务器。

360社区

根据我们在暗网黑市中获取到的信息，攻击者拿到这些数据之后，会通过一系列“黑产工具”，通过窃取来的信息，对相关人群，如企业客户、企业主发起网络诈骗。下图就是这类攻击者使用的一个做图工具，可以生成银行的交易界面图，该工具可以设置各种参数，这些工具都为攻击者钓鱼攻击提供了各种可能性。

360社区

之前有一轮攻击被360数字安全大脑拦截，我们发布了分析报告《数千企业财务中招！360发布新一轮钓鱼攻击预警》，通过360数字安全大脑分析，两次攻击者相似度极高，使用了大量共同资源，属于同一个攻击团伙。

360社区

除了针对性安全防范，360数字安全建议广大政企用户建立全面的数字安全防御体系，正确安装安全防护软件，以免重要数据泄露而产生不可逆的损失。
作为数字安全的领导者，360基于以“看见”为核心的安全运营服务体系，打造了一整套数字安全防御解决方案，从“云、管、端、地、险”五个维度出发，利用360本地安全大脑、360 EDR、360NDR等多款安全产品及服务，完整覆盖事前、事中、事后三个关键阶段，帮助用户感知风险、看见威胁、抵御攻击，实现多方位、全流程、体系化的勒索防护。未来，360将持续深耕安全防护，助力广大政企机构构建起体系化安全能力。

Iocs:
103.145.191.43:3306
52.128.226.194:3306
4c97d7b2e36eba33db6615ebe57ce8a4
a8a96d4930417bf15e4dfa429ff813b9
d9f25e299322f9d39e60d40e35f4c262
9ad14997bf62f7ce2bb9e1a7a7e12f67
e9dcd9eb96334569d1ec12e0d3b9fdea
c066d8d869121a4281da0a3fd1d1aced
2739b1bf6fe013e78228d622512fc00f
11c6ee13a1775ac6bb240abbf3e1bd92
7eed6c2ee1ef5b87d402f8945c88a7fe

来源：360数字安全