事關企業財務安全！360發布新一輪釣魚攻擊預警

近日，360數字安全大腦監測到新一輪釣魚攻擊，攻擊者以“發票.rar”、“工資提升名單.rar”、“回單憑證電腦版.zip”等為名稱，通過即時通訊軟件、郵件等多種方式傳播遠控木馬。攻擊目標為各類公司、企業、政府機構的財務相關人員，目前已監測到數千用戶被攻擊。攻擊者使用的假發票頁面，模仿了coremail的正規頁面，具有很強的迷惑性。

以捕獲到的其中一個木馬為例，該木馬以“發票.rar”名稱進行傳播，壓縮包內文件包括發_票.exe、cl32.dll、發_票.data，屬于典型的“白利用”啟動器木馬，其中“發_票.exe”屬于文件管理器軟件NexusFile的組件。

而cl32.dll 是用于劫持正規程序的“木馬加載器”，該木馬加載器通過讀取配置，來執行加載器功能。加載器會從hxxp[:]//43.136.40.*:8080/7X/client.dll下載遠控組件并加載執行。攻擊者還使用VMProtect對cl32.dll進行了保護。通過對client.dll進行分析，我們確認該遠控為“開闊云遠控”，目前其上線地址與加載器地址相同，該遠控是一款處于開發階段的“商業”遠控，常被用來作為攻擊工具。從“官方”介紹頁面可以看到，該遠控有遠控桌面、文件傳輸、遠控語音視頻監聽、鍵盤記錄等各類遠程控制功能，能夠實現對目標設備的遠程監視與控制，竊取與篡改用戶的機密文件與數據。下面代碼，展示了該遠控提供的各類接口：

從釣魚文件命名可以知曉，此次釣魚攻擊的主要目標為企事業單位的財務相關人員，企業管理員應加強排查防御，不輕易打開未知安全性文件。此外，企業管理員可以根據IOCs信息，通過配置終端安全黑名單，對木馬文件進行查殺；同時，管理員可在企業安全網關、防火墻、NDR類設備中，添加IOCs黑名單，攔截和查殺該木馬。值得注意的是，360終端安全產品已第一時間對該木馬進行查殺，正確安裝并開啟相關產品的用戶無需擔心，系統將自動隔離處理相關木馬文件。

除了針對性的安全防范，360數字安全建議廣大政企用戶建立全面的數字安全防御體系，正確安裝安全防護軟件，以免重要數據泄露而產生不可逆的損失。作為數字安全的領導者，360基于以“看見”為核心的安全運營服務體系，打造了一整套數字安全防御解決方案，從“云、管、端、地、險”五個維度出發，利用360本地安全大腦、360 EDR、360NDR等多款安全產品及服務，完整覆蓋事前、事中、事后三個關鍵階段，幫助用戶感知風險、看見威脅、抵御攻擊，實現多方位、全流程、體系化的勒索防護。未來，360將持續深耕安全防護，助力廣大政企機構構建起體系化安全能力。