【攻击预警】社交工程攻击通告：请加强防范以伪冒财政部名义并以税务调查为由之社交工程邮件攻击

转发 国家资安资讯分享与分析中心 NISAC-400-202501-00000016 国家资通安全研究院近期发现，攻击者伪冒财政部名义并以税务调查为由，发动社交工程邮件攻击，诱导收件者开启并下载与执行恶意附档。 建议贵单位加强防范与通知各单位提高警觉，避免点击邮件附档与连结，以免受骇。 已知攻击邮件特征如下，相关受骇侦测指标请参考附件。  1. 骇客寄送之主旨： 「税稽征机关调查通知」、 「税务抽查涉税企业名单」  2. 恶意附档名称： 「税务涉税企业.pdf」、 「查阅1140120.zip」、 「税务抽查涉税企业名单.pdf」、 「涉税企业名单.zip」  3. 相关恶意中继站: 206[.]238[.]221[.]240、 9010[.]360sdgg[.]com、 rgghrt1140120-1336065333[.]cos[.]ap-guangzhou[.]myqcloud[.]com、 fuued5-1329400280[.]cos[.]ap-guangzhou[.]myqcloud[.]com、 6-1321729461[.]cos[.]ap-guangzhou[.]myqcloud[.]com、 00-1321729461[.]cos[.]ap-guangzhou[.]myqcloud[.]com  4. 恶意附档SHA1杂凑值：4dd2a6de2c37e63d3bc239ae50068aaecbd611e3、 5e43b6d336a98344c2429b0073899844b17332c2、 e45cd29f904ab54e0d7f831982c7a78b4a370e9d、 7629f699f10f6230d7778b4800df12d3a557f1a4  注：相关网域名称为避免误点触发连线，故以「[.]」区隔。 情资分享等级: WHITE(情资内容为可公开揭露之资讯) 烦请贵单位协助公告或转发

N/A

1.网路管理人员请参考受骇侦测指标，确实更新防火墙，阻挡恶意中继站。  2.建议留意可疑电子邮件，注意邮件来源正确性，勿开启不明来源之邮件与相关附档。  3.安装防毒软体并更新至最新病毒码，开启档案前使用防毒软体扫描邮件附档，并确认附档档案类型，若发现档案名称中存在异常字元(如lnk, rcs, exe, moc等可执行档案附档名的逆排序)，请提高警觉。  4.加强内部宣导，提升人员资安意识，以防范骇客利用电子邮件进行社交工程攻击。