發布編號

NCCST-ANA-2022-0000111

發布時間

Mon Mar 07 18:43:18 CST 2022

事件類型

其他

發現時間

Mon Mar 07 00:00:00 CST 2022

警訊名稱

社交工程攻擊通告：請加強防範駭客散布EMOTET惡意程式之社交工程郵件攻擊

內容說明

技服中心近期發現EMOTET殭屍網路入侵受駭電腦，並竊取該受駭電腦之電子郵件聯絡人資訊，其中包含政府機關人員電子郵件資訊。駭客隨後將竊取之政府機關電子郵件聯絡人姓名做為主旨或附於內文，寄送含EMOTET惡意附檔之社交工程郵件給該政府機關相關人員。

由於惡意電子郵件之主旨或內文中所含之姓名確實與政府機關相關人員姓名一致，因此收到該惡意郵件之政府機關人員恐在降低戒心之情況下，點擊並開啟郵件附檔。已知8種攻擊郵件特徵如下，相關攻擊來源郵件信箱請參考附件。

1.惡意郵件主旨樣態如下：

(1)[政府機關收件人姓名]

(2)RE:[政府機關收件人姓名/政府機關收件人職稱及姓名]

(3)RE:[政府機關收件人姓名]([政府機關單位])

(4)Fwd: [政府機關收件人姓名/政府機關收件人職稱及姓名]

(5)Fwd:

(6)RE:

(7)空白主旨

(8)[機關曾往來郵件主旨]

2.惡意附檔大多為帶有巨集之Excel/Word文件，或以帶有密碼之壓縮文件形式。

影響平台

N/A

影響等級

中

建議措施

1. 建議留意可疑電子郵件，注意郵件來源正確性，勿開啟不明來源之郵件與相關附檔。

2. 若發現疑似夾帶EMOTET惡意附檔之電子郵件時，可將該郵件之可疑寄件人郵件信箱，透過EMOTET Malspam資料庫(https://www.haveibeenemotet.com/)進行查詢，該資料庫提供大多數EMOTET寄件人資訊可供機關參考。

3. 建議關閉Office系列之自動啟用巨集功能，避免惡意程式透過巨集感染收件人電腦。

4. 加強內部宣導，提升人員資安意識，以防範駭客利用電子郵件進行社交工程攻擊。

參考資料

1.iThome－【資安日報】2022年2月17日 https://www.ithome.com.tw/news/149414

2.threatpost－Emotet Now Spreading Through Malicious Excel Files https://threatpost.com/emotet-spreading-malicious-excel-files/178444/