2024年3月6日，美国网络安全公司趋势科技（https://www.trendmicro.com/）发表了一份关于Earth Kapre间谍组织传播钓鱼邮件的网络安全事件报告，该钓鱼邮件具有十分鲜明的特点，即带有恶意附件。Earth Kapre（又名 RedCurl 和 Red Wolf）是一个专注于网络间谍活动的威胁组织，本次攻击其采用了一个全新的技术策略，使用合法工具Powershell.ex和curl.exe来获取后续阶段的下载程序。为混入网络并逃避检测，该组织还使用程序兼容性助手 (pcalua.exe) 来执行恶意命令行。我们将报告公开的IOC信息加载至CNTD网络安全威胁情报共享平台，发现这些IOC信息存在恶意行为。经CNTD研判，其攻击始于2022年10月下旬。具体情况如下：

一、公开的IOC信息

趋势科技公开的IOC信息如下：

图1-1 公开的URL信息

图1-2 公开的域名和IP信息

二、攻击的具体情况

经CNTD平台检测发现，部分IP存在恶意行为。具体情况如下：

23.254.224.79（美国）

CNTD平台检测出IP“23.254.224.79”存在垃圾邮件行为。具体情况如下图所示：

图2-1 CNTD情报记录IP“23.254.224.79”存在垃圾邮件行为

三、建议

1、保持警惕性。了解和识别网络钓鱼邮件的常见手法和特征，包括伪造发件人地址、使用诱人的主题、包含恶意链接或附件等。不轻易打开来自未知或可疑发件人的邮件。

2、验证发件人身份。在点击邮件中的链接或下载附件之前，务必验证发件人的身份。可以通过查看邮件地址、搜索发件人信息或使用反钓鱼工具来确认其真实性。

3、谨慎处理邮件内容。对于涉及个人信息、财务信息或敏感数据的邮件，务必谨慎处理。不要轻易提供个人信息，也不要点击未知链接或下载未知附件。

4、使用安全的网络连接。尽量避免在公共Wi-Fi等不安全的网络环境下处理重要邮件，减少被间谍组窃取信息的风险。

5、安装并更新安全软件。在计算机上安装反病毒软件、反间谍软件等安全工具，并定期更新版本和数据库。这些工具可以帮助识别和拦截恶意邮件和附件。

6、备份重要数据。以防止数据丢失或被恶意软件加密。备份数据可以帮助在遭受攻击时迅速恢复数据。

（此报告已溯源到具体目标，如需提供溯源分析部分，请与后台联系：010-89029569。）