技服中心近期發現EMOTET殭屍網路入侵受駭電腦,並竊取該受駭電腦之電子郵件聯絡人資訊,其中包含政府機關人員電子郵件資訊。駭客隨後將竊取之政府機關電子郵件聯絡人姓名做為主旨或附於內文,寄送含EMOTET惡意附檔之社交工程郵件給該政府機關相關人員。
由於惡意電子郵件之主旨或內文中所含之姓名確實與政府機關相關人員姓名一致,因此收到該惡意郵件之政府機關人員恐在降低戒心之情況下,點擊並開啟郵件附檔。已知8種攻擊郵件特徵如下,相關攻擊來源郵件信箱請參考附件。
1.惡意郵件主旨樣態如下:
(1)[政府機關收件人姓名]
(2)RE:[政府機關收件人姓名/政府機關收件人職稱及姓名]
(3)RE:[政府機關收件人姓名]([政府機關單位])
(4)Fwd: [政府機關收件人姓名/政府機關收件人職稱及姓名]
(5)Fwd:
(6)RE:
(7)空白主旨
(8)[機關曾往來郵件主旨]
2.惡意附檔大多為帶有巨集之Excel/Word文件,或以帶有密碼之壓縮文件形式。
|