通过近期监测的数据,睿眼·邮件发现使用疫情作为钓鱼邮件内容的邮件大幅增长,其中“冒充WHO组织”、“诈骗捐款”、“疫情物资欺骗”、“疫情进度(信息)欺骗”等最为常见。随机截取多个睿眼·邮件的部分流量数据进行分析,发现疫情相关钓鱼邮件占总钓鱼邮件的比例为1月0%、2月0.0634%、3月0.4013%。相比二月,三月份疫情相关钓鱼邮件增长近6倍。同时,攻击者也爱追“热点”,针对疫情的最新动向不断更新钓鱼话术,利用受害者恐惧、好奇等心理,增加钓鱼攻击的成功几率。
在2月初国内疫情较为严重的阶段,攻击者使用“中国冠状病毒病例:查明您所在地区有多少”等中国疫情相关主题及内容进行邮件钓鱼投放木马。而到3月中旬意大利疫情迅速恶化阶段,攻击者转为使用“COVID-19批准的针对中国、意大利的补救措施”等国际热点内容进行邮件钓鱼投放木马。
2月:利用中国疫情相关内容发起攻击
3月:利用国际热点内容发起攻击
邮件1:中国冠状病毒病例:查明您所在地区有多少
钓鱼邮件正文
钓鱼邮件附件
包含附件:list.xlsx
附件MD5:
5fc077636a950cd5f89468e854c0e714
联动分析
附件样本分析:
上述样本利用CVE-2017-11882公式编辑器漏洞,从http://216.170.123.111/file.exe下载文件到%AppData%\Roaming\vbc.exe执行,vbc.exe内存加载一段ShellCode执行。
下载木马程序
加载一段ShellCode执行
使用ZwSetInformationThread进行反调试
动态获取进程注入使用的API地址
之后创建RegAsm.exe进程,将本段ShellCode注入新创建的RegAsm.exe进程。
创建RegAsm.exe进程并注入ShellCode
修改线程Context后恢复执行。
修改线程Context
ShellCode注入RegAsm.exe进程后从http://216.170.123.111/nass.exe
下载“nass.exe”,其功能与vbc.exe相同。
下载“nass.exe”
再次从
http://216.170.123.111/MR_encrypted_D34A1CF.bin
下载一个加密的文件。
下载“MR_encrypted_D34A1CF.bin”
加载执行MR_encrypted_D34A1CF.bin
收集用户名、计算机名
收集系统版本和内存大小
窃取浏览器访问记录及保存的帐号、密码
监控键盘按键、剪切板,并支持屏幕截图等
配置通过SMTP回传
恶意程序中存储的登录方式经过解密可获取攻击者使用的邮箱账号密码。
邮件2:Coronavirus – H&Q AUTO Update
钓鱼邮件正文
包含附件:H&Q AUTO customer letter COVID-19 update.doc
附件MD5 :
1c87c6c304e5fd86126c76ae5d86223b
附件样本分析:
对doc文件进行分析,程序调用Office公式编辑器,利用CVE-2017-11882漏洞进行攻击。
调用命令行
恶意文件运行调试后会访问域名“sterilizationvalidation.com”下载PE文件“elb.exe”,其功能与Agent tesla木马相同。通过路径看,是利用一个存在漏洞的WordPress网站作为C&C节点。
下载请求
通过SMTP流量将从主机中获得的数据发送出去:
wireshark截图(SMTP流量)
从流量上看,攻击者通过mailhostbox邮箱服务商,登陆设定好的邮箱给自己发送了一封邮件,邮件内容是受害主机内的相关应用账号密码。
SMTP协议数据包
攻击者邮箱的收件箱
这是SWEED黑客组织其中一个收取回传信息的邮箱。自2020年1月19日收到第一封邮件起,此邮箱已收到121封邮件。可推断疫情刚开始爆发,攻击者便开始了相应的邮件钓鱼动作,并一直持续进行钓鱼攻击。
目标受害者影响分析
无论是钓鱼邮件“中国冠状病毒病例:查明您所在地区有多少”还是“Coronavirus – H&Q AUTO Update”,其中的恶意程序都只是个木马下载器,最终执行的木马都是Agent tesla木马。
从本次截取的样本数据中,安全专家获得多个“SWEED”黑客组织收取盗窃密码的邮箱,收件箱中共发现342封邮件,对应342个受害者,经去重后被窃取的相关账号密码多达1307个,主要以chrome和firefox中存储的密码为主。
数据回传邮件中的账号分布占比
受害者主机回传的邮件
尽管木马上传程序中并没有设定记录受害者IP,安全专家通过提取EML的Received头中发件客户端IP作为受害者IP,统计发现受害者遍布57个国家。安全专家进一步根据登录URL、受害者IP、账户三个属性筛选出20多个中国受害者,得到30多个国内账号,并经校验发现目前部分账号依然可在线登录。
针对已购买“睿眼·邮件攻击溯源系统”的单位:
1. 实时检测疫情相关钓鱼邮件
通过关键词设置实现抗疫期间特定场景的威胁邮件实时监测
2.自定义分组疫情相关钓鱼邮件
自定义设置规则实现对特定威胁邮件的自动分组
3.MDR服务:邮件攻击溯源服务
针对普通邮箱用户:
诈骗类型钓鱼邮件
l 中国冠状病毒病例:查明您所在地区有多少
l Supplier-Face Mask/ Forehead Thermometer
l The Latest Info On Pharmaceutical Treatments And Vaccines.
l We Have A Lot Of Face Mask!!!
l Your health is threatened!
l COVID-19批准的针对中国,意大利的补救措施
WHO组织伪造
l COVID-19 UPDATE
l COVID-19更新
l RE: Final Control Method | World Health Organization| Important
l COVID-19 Solution Announced by WHO At Last As a total control method is discovered
l RE: Coronavirus disease (COVID-19) outbreak prevention and cure update.
l World Health Organization/ Let’s fight Corona Virus together
l World Health Organization – Letter – COVID-19 – Preventive Measures
疫情相关恶意邮件附件名:
l COVID-19 UPDATE_PDF.EXE
l CV + PICTURES 2938498-02-27-2020.arj
l list.xlsx
l message.txt .scr
l uiso9_cn.exe
l Coronavirus Disease (COVID-19) CURE.exe
l Breaking___ COVID-19 Solution Announced.img
l game_zy0520.pif
l CORONA_TREATMENT.pdf.exe
l covid-19.img
l COVID-19 WHO RECOMENDED V.exe
l H&Q AUTO customer letter COVID-19.doc
l WHO-COVID-19 Letter.doc
相关IOCS:
IOCs | 类型 | 备注 |
5fc077636a950cd5f89468e854c0e714 | MD5 | List(1).xlsx |
f1dd41a8b9807a6c18114f106a18fbba99773f75 | SHA1 | List(1).xlsx |
d534737eab45af28c56097cb52ef54c9 | MD5 | File.exe |
2cef8fda06a8595eafe20711f25ecd160de6634d | SHA1 | File.exe |
1c87c6c304e5fd86126c76ae5d86223b | MD5 | H&Q AUTO customer letter COVID-19 update.doc |
f42c6a014358758cdb722918acd95f1be153788f | SHA1 | H&Q AUTO customer letter COVID-19 update.doc |
264d328735f583080e6990104abf8e89 | MD5 | elb.exe |
2969f255ed378e85ec829b8014e34417a525bc47 | SHA1 | elb.exe |
hxxp://sterilizationvalidation.com/wordpress/wp-content/uploads/2019/files/elb[.]exe | URL | elb.exe下载地址 |
33411debe6489bcab7d30774edb24645 | MD5 | nass.exe |
3f1023e5930f1717d980abddf3f0564451d10a84 | SHA1 | nass.exe |
hxxp://216.170.123.111/file[.]exe | URL | File.exe下载地址 |
hxxp://216.170.123.111/nass[.]exe | URL | nass.exe下载地址 |
webmail.mailhostbox[.]com | URL | mailhostbox邮箱地址 |
转自:中睿天下