根據守內安與ASRC (Asia Spam-message Research Center) 研究中心的觀察，2023年第一季度，隨著全球經濟環境的整體復蘇，網絡攻擊者也在蠢蠢欲動：今年第一季整體垃圾郵件及病毒郵件的數量，相較去年第四季快速增長將近一倍；由打印機或僵尸網絡進行的郵件試探發送頻率也較去年第四季度大幅提升450%！

研究顯示，雖然目前還未看到較具體的生成式AI應用攻擊活動，但其可在短時間內生成較以往更令人信服的文案、翻譯和以假亂真的圖片，將會是未來郵件安全發展的一大隱患。以下為守內安與ASRC研究中心在本季度監測到的一些較為特殊的郵件攻擊實例：

1.針對 Microsoft OneNote 的攻擊

Qbot組織于今年第一季度發起了一波通過電子郵件流竄的惡意攻擊，名為QakNote。這個攻擊主要的特性是使用 .one的惡意文件試圖攻擊Microsoft OneNote，為后續的惡意行動打開受感染裝置的入侵大門。

為了防范宏在Office文件中被惡意濫用，微軟去年七月宣布關閉宏功能的措施會部署到Windows平臺的Access、Excel、PowerPoint、Word和Visio。在今年一月，研究人員就發現了攻擊者瞄準Microsoft OneNote發動新的攻擊活動趨勢。

.one的惡意文件中可包含惡意的VBS 、HTA或LNK快捷方式作為附件，也可以攜帶惡意的.js或 .jse，當受害者不慎點擊其中的攜帶附件，就可能觸發一連串請求powershell.exe執行的惡意行為。

注：OneNote允許在筆記中插入各種附件

注：攻擊程序代碼會藏在圖片后方

2.土耳其震災募款詐騙郵件

2023年2月6日凌晨4時17分，土耳其發生強烈地震，受災規模巨大引起世界關注，同樣也引起了黑客的關注。在初期，我們觀測到的詐騙郵件通過假冒全球捐贈網 (globalgiving.org) 的捐款信息，搭配帶有二維碼的釣魚頁面進行虛擬貨幣的捐款詐騙。

注：冒名全球捐贈網的詐騙

(Turkey_scam_whois.jpg，但其來信的網域卻是在2023/02/08注冊。)

釣魚頁面本身不具備交易或騙取敏感數據的功能，只提供三個指向詐騙用虛擬錢包地址的QR code：

(1)BTC

bitcoin:15euPhVcHmSP1kHeq2EyWvf9NXS12hmcWN

(2)ETH

ethereum:0xFb9217f10569a60A352b26A22fD99a1719c1bCd7@1

(3)USDT

ethereum:0xdAC17F958D2ee523a2206206994597C13D831ec7@1/transfer?address=0xFb9217f10569a60A352b26A22fD99a1719c1bCd7

還有一種欺詐形態是在內文要求直接捐款至特定比特幣錢包賬戶：bc1q2ta3f85kyd6ez6gtz45agxfxwp7007wdnzvg4n。

(Turkey_scam_3.jpg，附帶 QRcode 的善款詐騙郵件。)

這封詐騙信夾帶了QRcode圖片附件，經過解碼，結果為另一個比特幣錢包：

bitcoin:bc1qfpehxeppc9yd2farrxxq5mlr4xr82ezwevu7uf，這個錢包過去就被廣泛用于各種詐騙與恐嚇取財。

研究人員再次提醒，務必提防通過詐騙郵件要求任何捐款指示的操作，許多網絡詐騙行動并非一次性的損失，攻擊者會記錄容易上當的受害者信息并且發起持續性的欺詐攻擊。

3.漏洞利用：CVE-2023-21716、CVE-2023-23397

Microsoft 于2月14日發布重大漏洞CVE-2023-21716，同時影響了多個版本的Microsoft Office。此為遠程執行任意程序代碼 (RCE，Remote Code Execution) 漏洞，CVSS 評分值高達9.8。這個漏洞的入侵方式為攻擊者通過電子郵件攜帶特制的 RTF 文件，若使用者開啟RTF文件；或以帶有預覽窗口的Office應用程序 (如: Microsoft Outlook) 瀏覽，黑客就可以釋放漏洞執行程序代碼。

而在Microsoft 3月發布的CVE-2023-23397 (CVSS評分值9.8)漏洞，是Microsoft Outlook 特權提升 (EoP) 漏洞，可利用Outlook的日歷提醒功能來竊取受害者的Net-NTLMv2哈希。Outlook客戶端只要接收并處理利用此漏洞的惡意郵件后，即便使用者沒有開啟或預覽這封惡意郵件，都會自動觸發該漏洞并泄漏Net-NTLMv2哈希。

以兩個漏洞都可讓黑客通過惡意電子郵件進行攻擊，企業組織應盡快修補。 

4.郵件炸彈

郵件炸彈 (Email bomb) 是一種惡意濫用電子郵件的行為，其目的是使目標郵箱超額或使目標郵件服務器癱瘓，其中一種手段是利用壓縮文件來進行。通過修改壓縮文件，可讓商業郵件服務器、反垃圾機制或防病毒軟件在檢查壓縮文件內容物時，形成拒絕服務攻擊。在今年三月份，研究人員發現了一種融合了過去郵件炸彈手法的新攻擊手段。

 (mail_bomb.jpg，看似平常的壓縮文件附件郵件。)

(mail_bomb_compressed.jpg，壓縮文件里的 WORD 文件有著超高比例的壓縮。)

這種攻擊在Office Word文件的前半段嵌入惡意攻擊的程序代碼；而后半段則全填為“0”。當網絡安全設備試圖解壓縮進行掃描檢查時，解壓縮后的文件過大很容易將緩存空間塞滿，或造成內存占用方面的錯誤；同時，因為文件過大也會被一些掃描策略主動忽視。不過這波攻擊并未持續很長時間。