近日，騰訊御見威脅情報中心監測到一批攜帶CVE-2017-11882漏洞文檔的釣魚郵件在全球范圍傳播，用戶一旦不慎打開釣魚郵件的附件文檔，虛擬數字貨幣錢包盜號木馬或遠控木馬將運行，盜取受害用戶的賬號密碼，不法分子甚至可通過盜用企業郵箱冒充企業員工，引發更嚴重的內網安全危機。

該釣魚郵件攻擊主要針對制造業、批發和零售業、廣告業、進出口貿易等行業，且目標人群主要是從事對外貿易、財務相關人員。目前國內受影響最為嚴重的地區主要是廣東、浙江、江蘇等沿海省份，建議各企業用戶使用騰訊企業安全“御點”及騰訊御界防APT郵件網關進行防御。

（圖：該木馬在國內的影響區域）

由于工作需要，外貿等行業從業人員的郵箱經常被公開在官方網站或相關論壇，極易被不法分子所利用。騰訊御見威脅情報中心發現，本次釣魚郵件具備魚叉攻擊的典型特征，不法分子將有毒文件命名為“Order request”、“Company Profile”等訂單、商務公函文件，并通過編造相應郵件內容，誘導目標收件人打開查看，極大地提升了攻擊成功率。

經過對該釣魚攻擊行為進行分析，騰訊御見威脅情報中心發現，攻擊郵件通過觸發漏洞，會在受害用戶電腦中投放波尼和Tesla兩種木馬。波尼木馬試圖盜取用戶瀏覽器、郵箱、FTP服務器、數字虛擬幣等賬號密碼，并對企業內網實施滲透攻擊。一旦攻擊FTP服務器成功后，攻擊者可能使用惡意程序或文檔替換FTP服務器上共享的程序或文檔；會盜用企業郵箱，冒用內部員工身份尋找更多攻擊目標。Tesla木馬則通過記錄受害用戶鍵盤信息并傳回黑客服務器,盜取中毒電腦上登錄過的各種關鍵用戶名及密碼，執行遠程控制等。

為幫助企業有效抵御、防范釣魚攻擊，騰訊企業安全推出“御點”終端安全管理系統和御界防APT郵件網關兩大安全解決方案。作為終端安全管理系統，騰訊企業安全“御點”（https://s.tencent.com/product/yd/index.html）具備終端殺毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。其“女媧石”防御技術，可完美防御此類漏洞所有變種的攻擊。

針對企業日常辦公安全需求，騰訊御界防APT郵件網關（https://s.tencent.com/product/yjwg/index.html）可全方位守護郵箱安全。依托哈勃分析系統的核心技術，結合大數據與深度學習，御界防APT郵件網關通過對郵件多維度信息的綜合分析，可迅速識別APT攻擊郵件、釣魚郵件、病毒木馬附件、漏洞利用附件等威脅，有效防范郵件安全風險。

（圖：騰訊御界防APT郵件網關）

騰訊企業安全技術專家還建議，企業用戶應盡可能開通重要服務的雙重驗證，登錄企業服務器等重要服務時，除了需要提供用戶名密碼，還需手機短信或動態密碼驗證等等，為賬號密碼安全增加雙重保障。