2022重保进行时，Coremail作为中国头部邮件系统厂商，23年来的深耕经验得到各广大政企的信任，市场占有率高。

这也使得Coremail成为重保演练中，攻击队的重点攻击对象。

红队企图使用钓鱼邮件作为攻击手段，控制用户办公电脑，获取内网的各种登录账号和密码，进而得到办公网或者生产网的有用数据。

演练第一天，CAC大数据中心在例行的巡查工作中，发现了一例疑似针对某单位的恶意攻击行为。

如上图所示，攻击者冒充安全部门发送演练通知，

使用疑似失陷用户的企业邮箱，仿冒“集团安全中心”域名发邮件至公司用户。

附件：

X盾卫士.exe bdcbeac76cf340e2f1e95d33a8ab2669

链接的C2为腾讯云函数 ：service-5dttvfnl-1253933974.sh.apigw.tencentcs.com ，

ip为：49.234.243.251:443

样本是一个CS loader，会将加密得cs 代码解密并执行

Cs beacon会请求如下的云函数进行上线，样本到这里就分析完毕了。

如果是恶意的cs样本，设置后门上线后会被攻击者控制，可以执行多种恶意操作

邮件内容是正常的内部通知文本，附件携带一个无加密的zip压缩文件，压缩的文档是木马病毒。

两个快捷方式：关于签署2022年度《案防合规责任承诺书》的通知.lnk 执行DS_Stores.bat

sihosts.exe然后执行，同时执行用于伪装的docx和pdf文档，删除对应的快捷方式

wda.tmp/wdas.tmp  74f9d36041f0b0834e730b26356b9be7DS_Store.bat 10ffb5f3b042e48a5668b08145fe5d03DS_Stores.bat c77d2a492a51e5713559ae44de93da6d

如上图所示，冒充HR发送通知，攻击者进行了二级域名仿冒，用以发送钓鱼邮件。

值得注意的是，该公司邮件通讯录疑似泄露，该邮件群发抄送了多个部门。

邮件内容是正常的内部通知文本，同样附带了一个加密压缩的附件，压缩的文档是木马病毒,攻击方式是欺骗用户打开压缩包运行其中的文本，达到入侵或远控的目的。

用户一旦点击后则会运行木马病毒，如果是恶意的cs样本，设置后门上线后会用户端电脑会被攻击者控制，一旦被远控，后果不堪设想。

3、为了能将病毒邮件与正常邮件行为有所区分，建议日常发送加密压缩附件时，应该以其他手段将密码通知收件人，而不是放在正文。

4、若不小心点击了附件，建议马上切断中招PC的网络，并马上联系安全部门清理上网环境。

5、个人PC安装杀毒软件，并保持更新。

6、使用CACTER邮件安全网关提升防御机制。

Coremail邮件安全网关基于CAC大数据中心，可实时拦截垃圾广告，钓鱼邮件，病毒邮件，BEC诈骗邮件，拦截有效率达到99.8%，不仅支持自建邮箱系统Coremail、Exchange、IBM Domino、lotus notes，更可支持主流云邮箱品牌O365、Gmail等。

CACTER邮件安全网关支持免费试用！