现在国内经济的情况，大家也能看得到。这几年各企业，不管是国企、民营、个体户小老板儿，都纷纷谋求出海，且不说能不能挣到钱，但别被出海黑阔给坑了（人家也出海的）。

在遇到一些境外特定网络攻击的时候，由于文化、语言、工作方式的不同，很容易中招，近期捕获到一起仿冒印尼中亚银行的攻击，社工话术为付款单据，如果你的出海目的地在东南亚，一定要留意！攻击者使用的技战术包括：发件人伪装，文件类型伪装，附件压缩，恶意附件，后门安装，BEC商业诈骗。

1、初始投递

邮件内容如下：

我们翻译一下先：

传到DeepPhish EML分析平台跑一下，几处都是黄灯，还使用了第三方代发，简直就是各种猪鼻子插大葱——装蒜。SPF softfail软拒绝，意味着这封邮件不会直接拒收，大概率进垃圾箱。很多企业不敢启用硬拒绝，担心误拦，软拒绝又担心用户从垃圾箱捡回来，这事很难！

记住这个发件人 @abecorp.kz和代发地址@foodpacking.ec，后面有包袱。

AI分析如下：

邮件还包含一个可疑附件“Bank Central Asia _Salinan Pembayaran.pdf.tar”，文件包含“.pdf”以诱导用户以为是pdf文件。诱导用户进行双击打开。

该文件实际为一个压缩文件，双击会使用计算机已安装的压缩工具打开。如果用户再进一步点击里面的“Bank Central Asia Salinan Pembayaran.pdf.bat”可执行批处理文件，则会启动执行木马病毒程序。

如果你对邮件存有疑惑，回复发件人，则会回复给@artificialgrassdubai.com，（迪拜人造草），这是什么骚操作，也就是说如果你不直接中招，黑客则可能转而使用BEC诈骗手段，由一个专门的诈骗专家接管攻击流程。

这个地址的资产情况和代发地址的资产情况几乎一模一样，互相关联，位于美国，运营商Unified Layer，NS，MX全部一样配置，Unified Layer 是一家共享数据中心基础设施提供商，为一系列公司拥有的网络托管服务提供商提供资源和服务，包括 Bluehost、HostGator、iPage 等。Unified Layer 使这些公司能够为其客户提供可靠、可扩展且安全的托管环境，共享托管、云托管、VPS 托管、专用托管、网站构建和域名注册服务的平台，甚至包括邮件营销和在线营销，对手利用合法第三方服务商实现了自身的规模化、自动化作业。

2、沙箱行为

通过公开沙箱判断，该bat包含了Remcos远控家族，bat执行powershell加载内存。Remcos是一款商业化的远程控制恶意软件，实际上是一家名为 Breaking Security 的德国公司以 Remote Control and Surveillance 的名义出售的合法工具，经常被黑客滥用。bat本身也有反沙箱机制。

杀软检出率极低：

病毒执行后会直接连接远控地址“185.241.208.118:9683”进行TLS加密通讯，主要进行远程控制命令下发等操作。注意，这个地址同样是黑客的发件服务器地址，简直猖狂！

同一个样本攻击者会编排多国语言，投递给英文、中文、泰语国家相关企业，不排除仿冒为其他银行。

其他不再赘述，附上VT地址：https://www.virustotal.com/gui/file/ed3ea3727b6cbd1a9d61ada18691a1f818684cfe6176d7ec169382d3ba291669