freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“抓鸡狂魔”病毒团伙活动报告
  • 关注
    “抓鸡狂魔”病毒团伙活动报告
    2018-11-07 21:49:53
    所属地 广东省

    一、团伙介绍

    “抓鸡狂魔” 病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马(如Darkcomet,Njrat等)在全球范围内批量抓肉鸡。控制肉鸡后,收集用户隐私信息、机密文件或者发起DDoS攻击,对中毒用户危害严重。

    “抓鸡狂魔”团伙最早活动可追溯到2017年,最初使用Darkcomet进行抓鸡。在2018年上半年开始利用Word漏洞文档进行定向攻击。其中在2018年4月份开始,通过投递带有CVE-2017-11882等漏洞文档的鱼叉邮件(指针对特定目标,精心伪造的攻击邮件)发起攻击。

    Darkcomet木马又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后,不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用中招电脑作跳板,对其它攻击目标进行DDoS攻击。

    Darkcomet(“暗黑彗星”)木马国内广泛分布,感染率前三的省份为广东、浙江和河南。“抓鸡狂魔”团伙的木马控制服务器大多位于美国、法国,通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区的可能性较大。

    二、团伙图谱

    通过腾讯安图高级威胁追溯系统,查询到“抓鸡狂魔”团伙的相关信息。

    1.png

    目前未追溯到该团伙国籍信息,其服务器所在地大部分在法国和美国,且通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区。

    通过对“抓鸡狂魔”团伙多条IOC进行分析,发现团伙常使用ddns.net,hopto.org,duckdns.org和zapto.org等动态域名,部分域名命名具有一定规则,如前缀jeff,如jeffyunq.hopto.org,jeffallen247.hopto.org等。然后通过IOC交叉关联和攻击手法分析,发现几起攻击事件高度可疑来自“抓鸡狂魔”团伙,如下图。

    2.png

    “抓鸡狂魔”团伙常用钓鱼手法,比如鱼叉邮件、伪装正常程序以假乱真、美女图标程序等,而且利用已公开的漏洞来提高攻击成功率,在今年4月份通过投递cve-2017-1188,cve-2017-8759漏洞文档定向攻击。

    腾讯御见情报中心对“抓鸡狂魔”团伙长期跟踪,今年4月份,该团伙通过鱼叉邮件大量传播后门木马,异常活跃,之后热度有所下降。最近从9月开始,“抓鸡狂魔”团伙活动热度又有上升趋势。

    3.png

    (“抓鸡狂魔”团伙活动态势)

    通过分析发现目前“抓鸡狂魔”团伙使用的Darkcomet远程控制木马异常活跃。Darkcomet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。

    2012年,木马作者停止了对于“暗黑彗星”木马的更新,最新版本停留在5.4.1,但是目前仍有大量攻击者使用该工具进行网络攻击。

    4.png

    根据腾讯安全御见情报中心分析,得到Darkcomet(“暗黑彗星”木马)国内感染态势分布,感染率最高的为广东、浙江和河南,分别为21.8%,13.85%和8.55%。

    5.png

    三、关于Darkcomet“暗黑彗星”远程控制木马

    Darkcomet“暗黑彗星”木马是款古老的远程控制木马,常见通过鱼叉邮件传播,作为攻击RAT(远程控制管理的简称),功能十分强大。跟其它远程控制木马一样,Darkcomet有自己一套传输协议,数据收发时都会进行加解密,确保顺利通信。

    6.png

    腾讯安全御见情报中心动态行为报告如下:

    7.png

    四、安全建议

    1.及时使用腾讯电脑管家更新系统补丁,以防漏洞攻击,同时不要打开来历不明的邮件附件。

    2.通过正规的渠道下载软件。

    3.保持杀毒软件开启。


    五、威胁情报(部分IOC如下)

    IP:

    197.211.61.46


    Domain:

    pinols999.hopto.org

    jeffyunq.hopto.org

    jeffallen247.hopto.org

    jeffhaz305.hopto.org

    niogem117.ddns.net

    fuhrer.homepc.it

    amentocashouts.hopto.org


    MD5:

    593602cdbd3ad923e32a00d36c33a58c

    4d7fb5d2e4949fd1bccb6d978cfad13d

    6269136faae122cfc41d6ab27285d038

    08e91e485074bf4425b7c31b3ec079b3

    0ef73c6018b794d135af0604f56f50a9

    ab4f5f1f37650f856d894285f7b6c77b

    184ae65cae6fbbcec9e42ab10a415287

    b319a6aba664394b55884419162119f3

    a8efae45288f2dcbf84e6eb5c989322d

    027c135d7a3220dd87abe44f9619010f



    # 僵尸网络 # 腾讯电脑管家 # DarkComet后门 # 抓鸡狂魔 # 远程控制木马
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者