最近,大概一个月前,我收到系统告警,标题是“我司遭受新冠相关apt攻击,内网大量主机访问C2域名。”是网络流量命中了IoCs。
仔细一看,这个域名是insiderppe.cloudapp.net,看起来是黑客利用微软的cloudapp托管服务在搞事情。上网一查,这是一个新冠邮件木马的域名,报告见这里:https://blog.morphisec.com/trickbot-delivery-method-gets-a-new-upgrade-focusing-on-windows
随后我在飞塔的网站上找到了更详细的报告:https://www.fortinet.com/blog/threat-research/attackers-taking-advantage-of-the-coronavirus-covid-19-media-frenzy.html
里面分析了木马邮件是如何运作的,非常棒的一篇文章。
那么好,估计是邮件做的比较真,有老师点了,这可是大事。
开查。但是一查就出现了问题,我发现访问这个域名的主机,大部分是服务器,测试机,根本不会有人在上面处理邮件的,有几台办公的主机,都快挖地3尺了,都没有找到什么恶意邮件,恶意程序。
这就很