湖北國(guó)菱提醒您注意！針對(duì)企業(yè)的釣魚郵件APT攻擊爆發(fā)，近3萬(wàn)家中國(guó)企業(yè)遭到攻擊

來(lái)源：湖北國(guó)菱網(wǎng)絡(luò)安全 時(shí)間：2017-12-08

近日，網(wǎng)絡(luò)安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室的安全態(tài)勢(shì)感知系統(tǒng)，監(jiān)測(cè)到一起大范圍的APT攻擊事件，52個(gè)國(guó)家的網(wǎng)站被利用。受攻擊的企業(yè)、單位對(duì)象中，70%來(lái)自中國(guó)，包括比亞迪、京東、南京大學(xué)、江南大學(xué)等多家知名企業(yè)、單位。該實(shí)驗(yàn)室安全態(tài)勢(shì)感知系統(tǒng)的監(jiān)控?cái)?shù)據(jù)顯示，此類型釣魚郵件從11月20號(hào)開(kāi)始傳播，短短2天就達(dá)到了每日4萬(wàn)以上的傳播量；工作日傳播量更大，峰值能達(dá)到將近6萬(wàn)次日傳播量。而從11月28日至12月4日的7天時(shí)間內(nèi)，共發(fā)現(xiàn)18 萬(wàn)個(gè)email用戶被釣魚攻擊，平均每日受影響的用戶數(shù)在3萬(wàn)人左右。

目前，針對(duì)這種情況，用戶如果接收到來(lái)歷不明的文件，也不必驚慌，可以聯(lián)系湖北國(guó)菱網(wǎng)絡(luò)安全技術(shù)團(tuán)隊(duì)進(jìn)行處理。

（釣魚郵件鏈接傳播趨勢(shì)）

（每日受影響的人數(shù)）

界面極具迷惑性  釣魚鏈接的域名絕大部分是正常網(wǎng)站

APT（Advanced Persistent Threat）是一種高級(jí)持續(xù)性威脅攻擊。利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。APT目標(biāo)攻擊通常采用魚叉式網(wǎng)絡(luò)釣魚攻擊手法，針對(duì)企業(yè)內(nèi)部的個(gè)人或團(tuán)體，偽造包含目標(biāo)對(duì)象相關(guān)信息的電子郵件，盜取目標(biāo)的企業(yè)郵箱賬號(hào)，獲取企業(yè)信息，為進(jìn)一步滲透企業(yè)內(nèi)網(wǎng)做準(zhǔn)備。

（釣魚郵件樣例）

點(diǎn)擊釣魚鏈接后出現(xiàn)的界面極具迷惑性，如果用戶不注意，則很容易上當(dāng)受騙。這次釣魚郵件的鏈接有一個(gè)很明顯的形式，那就是釣魚鏈接的域名絕大部分是正常網(wǎng)站，因此可以推斷是黑產(chǎn)人員利用了正常網(wǎng)站存在的漏洞，然后放入釣魚鏈接。

（點(diǎn)擊釣魚郵件鏈接后出現(xiàn)的登錄界面）

被入侵用來(lái)釣魚的美國(guó)企業(yè)網(wǎng)址最多，釣魚攻擊的目標(biāo)主要針對(duì)中國(guó)企業(yè)

從這些被利用站點(diǎn)所處的地理位置來(lái)看，包括中國(guó)在內(nèi)，總共有52個(gè)國(guó)家的網(wǎng)站被利用，其中絕大部分為國(guó)外網(wǎng)站，占到了總數(shù)的95%，在所有國(guó)家中，美國(guó)受害的網(wǎng)站數(shù)目最多，占到了總量的54.4%。

（被利用站點(diǎn)地理位置分布）

而從被盜號(hào)郵箱的域名服務(wù)分析來(lái)看，共有將近4萬(wàn)家企業(yè)、高校、政府組織的郵箱服務(wù)接收到釣魚郵件，其中71%（29000多家）來(lái)自中國(guó)的企業(yè)、高校和政府組織，其中不乏知名企業(yè)、教育機(jī)構(gòu)。比如比亞迪、江南大學(xué)等；美國(guó)企業(yè)也“受害不淺”，占到了總數(shù)的24%。

針對(duì)這種情況，湖北國(guó)菱網(wǎng)絡(luò)安全團(tuán)隊(duì)提供下面兩種方案支持。

方案一：基于DNS服務(wù)器的網(wǎng)絡(luò)釣魚安全解決方案

方案二:基于企業(yè)網(wǎng)關(guān)的網(wǎng)絡(luò)釣魚安全解決方案

目前湖北國(guó)菱安全團(tuán)隊(duì)已經(jīng)通過(guò)和公安、運(yùn)營(yíng)商合作有效降低部署地網(wǎng)址詐騙案發(fā)率，推出本地庫(kù)安全解決方案，識(shí)別和攔截惡意網(wǎng)址。

湖北國(guó)菱計(jì)算機(jī)科技有限公司網(wǎng)絡(luò)安全歡迎各個(gè)企業(yè)安全團(tuán)隊(duì)、安全公司伙伴和對(duì)接方案，從更多場(chǎng)景保護(hù)用戶上網(wǎng)安全！聯(lián)系郵箱：business@gl-ns.com。