freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

趁火打劫,谨防黑客冒充权威疫情防控机构,利用“疫情”发起钓鱼攻击
2020-02-10 12:00:58

一、前言:丧尽天良 趁火打劫

当前,新型冠状病毒感染的肺炎疫情防控处于攻坚阶段,引起全国人民的高度重视,这也给居心叵测的攻击者带来了可乘之机。近期,中睿天下的睿眼邮件攻击溯源设备监测发现多起利用“新型冠状病毒”这一热点发起的钓鱼邮件攻击事件。黑客组织丧尽天良趁火打劫,伪装身份(如权威疫情防控机构国家卫健委),以“疫情防控”相关信息为诱饵,发起钓鱼攻击

邮件主题威胁类型
URGENT: Update on Novel Coronavirus Infection and Declaration Form译文:“紧急:更新新型冠状病毒感染情况声明表格”恶意附件
Help Donation to fight coronavirus wordwide译文:“全球范围内募捐,抗击冠状病毒”比特币诈捐
DHL Shipment Notification : 6876666425译文:“DHL发货通知:6876666425钓鱼邮件
Request for Quotation译文:“询价单”恶意附件


睿眼·邮件发现的钓鱼邮件(部分)

这些钓鱼邮件攻击有针对性地发送,发件人冒充可信来源,邮件内容贴合真实业务,极具欺骗性与危害性。一旦用户点击,可能导致主机被控,重要信息、系统被窃取和破坏。

下面,我们对其中冒充“国家卫健委”进行“新型冠状病毒感染情况信息申报”的一封钓鱼邮件进行溯源分析,以帮助各政企单位更好地应对相关威胁。

2 冒充国家卫健委的恶意钓鱼邮件.png

冒充国家卫健委的恶意钓鱼邮件

3 精心伪装的Word宏病毒.png

精心伪装的Word宏病毒

二、邮件样本:精心伪装 极具欺骗性

精心伪装:

攻击者冒充“国家卫健委”,将发件人名称设置为“中华人民共和国国家卫生健康委员会”,将发件邮箱伪造成admin@en.nhc.gov.cn,同时在邮件末尾模仿国家卫健委邮件签名。

而在睿眼·邮件发现的另一封冒充国家卫健委的钓鱼邮件中,我们发现攻击者还将“邮件附件”进行了精心伪装,利用附件后缀名欺骗包装EXE可执行文件,即实际附件为“声明表格 03-02-2020pdf.exe PE病毒。

4 将exe伪装pdf的PE病毒.png

将exe伪装pdf的PE病毒

发件内容精心设计:

邮件内容贴合国家卫健委“开展新型冠状病毒感染的肺炎防控工作”这一真实业务职能,利用主管单位身份,要求填写“旅行申报表”,诱导受害者下载并打开恶意附件。同时攻击者对收件人进行心理施压要求紧急处理,多因素综合提升攻击的成功率。

三、技术分析:LokiBot木马

当受害者点击打开word文档后,页面将出现虚假提示“文档无法在邮件预览状态下打开,请下载文件,并在打开的时候点击‘允许编辑’”,进一步诱导受害者按虚假提示执行宏命令。宏命令随后执行PowerShell命令,从hxxp://mellle[.]com下载木马Lokibot木马文件。

LokiBot木马由“BankBot”演变而来,是一种窃取用户敏感信息的恶意软件。LokiBot木马在暗网、黑客论坛等网站上被高频出售。与其他劫持木马相比,“LokiBot”木马可以根据不同目标环境发起相应攻击,比如主动向用户设备发起界面劫持、加密用户设备数据,勒索欺诈用户钱财、建立socks5代理和SSH隧道、进行企业内网数据渗透等。

5 诱导受害者按照虚假提示执行宏命令.png

诱导受害者按照虚假提示执行宏命令

6 下载木马运行后的上线ip.png

下载木马运行后的上线ip

       通过睿眼·邮件沙箱动态分析,我们发现初始会上传计算机用户名,方便黑产组织管理失陷主机。

7 沙箱分析发现上传敏感信息操作.png

沙箱分析发现上传敏感信息操作

四、溯源分析

4.1 发件人溯源

该钓鱼邮件的发件人admin@en.nhc.gov.cn为伪造。根据邮件头,我们确认真实的邮箱发件服务器为64.50.163.75(RDNS:vigil.lunarbreeze.com),而卫健委官网域名的MX记录为61.49.18.77。

邮件头中的X-Get-Message-Sender-Via和X-Authenticated-Sender字段都标记了另外一个邮箱账户info@sdsalarmas.com,而sdsalarmas.com的A记录解析IP也为64.50.163.75,从而可推断攻击者真实的发件账号为info@sdsalarmas.com,并且攻击者使用lunarpages.com(VPS及Web托管互联网提供商)提供的企业邮件托管服务作为发件服务器。

8 卫健委官网MX记录.png

卫健委官网MX记录

对info@sdsalarmas.com进行进一步溯源后发现,sdsalarmas.com属于SISTEMAS DIGITALES DE SEGURIDAD PRIVADA S.A. DE C.V公司(西格里斯数码相机私人有限公司)。这家公司官网的联系邮箱info@sistemasdeseguridad.com.mx使用的也是lunarpages.com提供的企业邮箱服务,从而可推断攻击者控了该公司的邮箱账号info@sdsalarmas.com或主机发送疫情相关的钓鱼邮件。(暂时排除该公司由黑客组织注册的可能性)。

4.2 木马C2溯源

Word文档点开后尝试下载的LokiBot木马(下载链接hxxp://mellle.com/sp/sp[.]exe)的回连ip为107.175.150[.]73,属于colocrossing公司提供的付费VPS,此ip开放了21、25、110、22、993等常用端口,为黑客组织控制的C&C。

通过virustotal发现回连ip在2019年11月3日开始活动,并没有变动绑定域名,推测该黑客组织至少在2019年11月开始活动。

4.3 内部威胁情报关联分析

通过关联威胁情报,我们发现在疫情爆发前,107.175.150[.]73就一直存在钓鱼邮件、木马邮件等攻击活动。互联网披露107.175.150[.]73相关的威胁情报集中在2020年1-2月份,侧面说明1-2月份为该黑客组织的活跃期。而本次疫情相关的恶意钓鱼邮件为该黑客组织丧尽天良、趁火打劫的攻击手法之一。

9 该黑客组织被公布的最早活动时间.png

该黑客组织被公布的最早活动时间

10 关联IP的恶意URL公开时间集中于1-2月份.png

关联IP的恶意URL公开时间集中于1-2月份

4.4 相关IOCS

IOCs类型备注
107.175.150[.]73IPLokibot木马回连ip
hxxp://107.175.150.73/~giftioz/.hoki/fre[.]phpURLLokibot木马回连url
hxxp://mellle[.]com域名Lokibot木马下载域名
hxxp://mellle[.]com/sp/sp.exeURLLokibot木马下载链接
089abb7cb5efa67ddff48b64e289be58MD5声明表格 04-02-2020.doc
480f818af5b2fd454d631d637a3a617bMD5声明表格 03-02-2020·pdf.exe
9ebac84be6049fa8e11106e5957c35d03d92b569SHA1声明表格 04-02-2020.doc
fe163837bebb3561c1fd9e144a2115a3356ba23cSHA1声明表格 03-02-2020·pdf.exe

五、安全建议

1.      谨防关于“疫情”、“新型冠状病毒”、“肺炎”等相关的热点词汇的电子邮件,不要随意下载或打开来历不明的相关邮件及附件。

2.      建议关闭office宏功能,防止被宏病毒感染,可在office选项--->信任中心--->信任中心设置--->宏设置--->禁言所有宏进行设置。

3.      如有睿眼·邮件攻击溯源系统,可在“威胁检测”->“专家模式”下选择威胁邮件,搜索主题或邮件正文中带有疫情相关关键字的邮件,并另存为场景,实现特殊时期这一场景下的威胁邮件实时监测。

关键字可参考:

疫|冠状病毒|病毒|武汉|流感|卫生|中华人民共和国国家健康委员会|卫生应急办公室|旅行信息收集申请表|卫生部指令|封城|特效药|口罩|Epidemic|situation|coronavirus|wuhan|fluenza

12 设置关键词,实现抗疫期间特定场景的威胁邮件实时监测.png

设置关键词,实现抗疫期间特定场景的威胁邮件实时监测

# 钓鱼攻击 # 钓鱼邮件 # 攻击溯源
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者