腾讯NTA检测到某重保单位疑似收到钓鱼攻击邮件,后查明,攻击者伪装成“五一”放假通知、“五一”劳动节福利、“五一”劳动节值班等不同主题,引诱企业员工打开精心构造的钓鱼邮件附件。攻击者群发的钓鱼邮件影响不同企业数百名员工,有个别员工中招访问了恶意附件。
腾讯安全专家团队对腾讯NTA捕捉到的钓鱼邮件进行分析,发现攻击方式为“白加黑”:由自带数字签名的白文件启动恶意黑文件(.dll)。
通过一系列中间过程,受害电脑会下载运行一个公开知名的渗透测试工具Cobalt Strike,这是一个功能强大的远程控制软件。腾讯安全专家服务团队通过逆向分析发现攻击者使用的一系列C2服务器IP。将这些IP立即通过腾讯天幕封禁,即使内网有个别用户中招,攻击者投放的远程控制软件已无用武之地。