悠悠楠杉
网站页面
DRIFTINGBLUES:6
08/05
上周三,某跨国企业IT部门收到数十封主题为"季度报销公示"的邮件,当财务人员点开附件中的Excel表格后,整个内网在47分钟内陆续出现数据异常。这起事件背后,正是近期活跃的DRIFTINGBLUES:6网络钓鱼攻击的最新变种。
一、攻击活动特征分析
伪装升级
相比早期版本,第6代攻击将发件人伪装成"人力资源部"的比例提升62%,使用企业真实员工姓名作为发件人别名。安全团队发现,某次攻击中使用的发件人"王敏(财务)"与目标公司某分部会计姓名完全一致。载荷演变
- 附件从传统宏文档转变为ISO镜像文件
- 内嵌的VBS脚本采用代码分段混淆技术
- 新增对云存储API的检测功能
横向移动
成功植入后,恶意软件会优先扫描内网中的:
- 财务系统备份目录
- 共享文件夹中的合同文档
- 邮件服务器地址簿
二、典型攻击链还原
- 初始访问:钓鱼邮件包含"员工社保调整通知.xlsm"
- 执行载荷:启用内容后触发MSHTA执行远程脚本
- 持久化:在启动目录创建计划任务
- 数据渗出:通过DNS隧道传输压缩后的文档
某制造企业遭遇攻击后,攻击者在非工作时间(凌晨2:15-3:40)批量下载了供应商名录和投标价目表,全程仅触发1次防病毒告警。
三、企业防护方案
技术层面
- 邮件网关配置附件过滤规则(阻断.iso/.vbs等扩展名)
- 启用终端EDR解决方案的行为检测模块
- 对财务/高管账号实施多因素认证
管理层面
1. 每月开展针对性钓鱼演练(重点测试财务部门)
2. 建立可疑邮件"三核实"制度:
- 核实发件人邮箱后缀
- 核实联系电话一致性
- 核实文件预期性
某金融客户实施上述措施后,钓鱼邮件点击率从14.3%降至1.2%。
四、个人防护要点
当收到包含以下特征的邮件时应保持警惕:
- 要求启用宏查看"重要内容"
- 附件名称包含"紧急""最终版"等字样
- 发件人显示为同事但邮箱前缀异常
建议普通用户安装带有链接预览功能的邮件客户端,在悬停时显示真实URL地址。去年某次攻击中,伪装成内部协作平台的钓鱼页面与真实站点域名仅差1个字符(corp-rate.com vs corp-ratе.com)。
目前,DRIFTINGBLUES攻击组已迭代出第7代变种,新增对移动设备的攻击向量。安全专家建议企业每季度更新邮件安全策略,如同防病毒软件需要定期更新特征库一样,防御措施也需要持续进化才能应对不断变化的威胁。
