两封发票主题攻击邮件分析

一大早收到两封“发票主题”攻击邮件。0x1基本情况3月6日上午，邮箱连续收到两封以税务发票“Tax Invoice”为主题的邮件，全部是英文信息，接收时间分别是早上8：27和9：15，附件是windows系统.cab压缩格式文件，内含PE文件，初一看，是一个很直接、很low的攻击方式。其中第二封邮件的附件没有接收完全（仅仅336B），第一封邮件包含完整的PE文件（cab文件大小为1.02M），利用WINRAR打开，两个.cab文件如下图所示，其中内含的两个exe分别创建于2020年3月5日的22：18和23：13，文件创建时间很接近。0x2邮件头分析本地邮件接收客户端是outlook，两封邮件寄送地址分别是ecomm@leviton.com和info@orcspain.es，两封邮件在outlook主页面看不到具体的收件人信息。查看两封邮件的头部 ………………………………