freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

掘金行动(Operation Gold Hunting):目标瞄准前沿科技行业
  • 关注
掘金行动(Operation Gold Hunting):目标瞄准前沿科技行业
2020-11-12 13:48:12

01摘要

近期,安恒威胁情报中心猎影实验室监测捕获到一些以创投为主题的钓鱼文档。

诱饵文档标题伪装成创投资本的保密协议,利用模板注入下载后续内容,同时伪造创投相关文档内容诱导迷惑受害者。通过分析发现行动的主要目标集中在风投前沿科技相关行业。

02分析

我们捕获到“Union Square Ventures Partnership-Mutual NDA Form.docx”,“Abies VC Presentation(ISO 27001).docx”等多个标题为创投资本相关的文档,其中NDA为Non-Disclosure Agreement缩写,意为保密协议。

f81106f87556278486bf23aa9d75d297-sz_44629.png

样本形式大致类似,我们这里取其中一个的名为Abies VC Presentation(ISO 27001).docx的样本来分析,意为冷杉创业投资汇报。

8cf8a050296e218e040858e491ee90ab-sz_164423.png

settings.xml.rels文件内包含远程链接,

bc96197de03e57c44022ef7c69622a95-sz_41156.png

分析的样本在启动阶段会尝试访问https://googleservice[.]xyz/5+MMshxcY33IX2woo6UfPsQ3BDAuMjm14P2R/cCl/+8=下载后续恶意文件,目前此链接无法访问,

c00839376185281c3390416524a3ef85-sz_91175.png


文档的内容为伪装的ISO 27001标准保密协议,在ISO 27001标准的logo下有被盖住的冷杉创投的logo,且包含诱导受害者点击的相关信息。

1d644ca27610cb9d721f5bed9e06eab7-sz_314961.png


对样本所使用的网络资产进行关联分析,我们找到了不少相关网络资产。

可以看到关联到了这次攻击中所伪装的冷杉投资的相关域名,abiesvc[.]com、abiesvc[.]info

0562ce5aae2c54abd995646801cbe759-sz_84890.png


域名的注册时间都不久。

59e4140a5b3e350f5789384e727e40e6-sz_118111.png


类似的域名还有lemniscap[.]cc、dekryptcap[.]digital、fastercapital[.]cc、lundbergs[.]cc等创投资本相关域名。注册的域名中有本次样本使用的googleservice[.]xyz以及docstream[.]online、isosecurity[.]xyz、filestream[.]download这类有着欺骗性的域名。也发现了加密货币相关的域名coinbigex[.]com、coinbig[.]dev、galaxydigital[.]cloud、kraken-dev[.]com等和能源投资相关域名innoenergy[.]info

对部分域名做了302的临时重定向,定向至官方网站域名,以增强迷惑性,

7b1321610f2f151a141c3c3a224fd79f-sz_86341.png


例如,访问abiesvc[.]com所在域名会重定向至冷杉创投官方网站abies[.]vc

访问dekryptcap[.]digital会重定向至dekryptcapital官方网站dekrypt[.]capital

关联所得到的样本中部分样本的docID相同,docID值位于settings.xml文件内。

bb1f13669e419e4884caa3fa513fab18-sz_48252.png

在其中三个关联样本中我们发现了语言值信息。”Lundbergs NDA Mutual Form.docx”的语言值中出现w:eastAsia=”ko-KR”

d3bc97ed51fbce85562b5cccc7ae5f87-sz_41057.png

“Circle Business Introduction(ISO 27001).docx”样本中发现了语言值w:eastAsia="ja-JP";“FasterCapital Introduction 2020 Oct.docx”样本中出现了语言值w:eastAsia="zh-CN"

0a4e1f6be73602ce67740d6561933598-sz_36458.png

另外除了前面的伪装文档内容外,还有多种伪装文档内容样式。

f88efe53de331029f2a7f4ff3917a53b-sz_380378.png

03总结

在分析过程中,我们发现该攻击者注册并掌握了一定数量的创投资本相关域名及一部分其他有欺骗性的域名,同时发现了一批使用创业投资资本保密协议主题的样本,目前捕获的样本显示攻击者的攻击目标集中于前沿科技初创公司。

很遗憾目前所有找到的样本的回连地址中尚未发现后续阶段的攻击样本,猎影实验室也将持续关注该攻击事件。

04 IOC

md5:

ecf75bec770edcd89a3c16d3c4edde1a

bcf97660ce2b09cbffb454aa5436c9a0

13ff15ac54a297796e558bb96feaacfd

cace67b3ea1ce95298933e38311f6d0b

645adf057b55ef731e624ab435a41757

bde4747408ce3cfdfe8238a133ebcac9

421b1e1ab9951d5b8eeda5b041cb0657

d2f08e227cd528ad8b26e9bbe285ae3c

04deb35316ebe1789da042c8876c0622

af4eefa8cddc1e412fe91ad33199bd71

34239a3607d8b5b8ddd6797855f2e827

389172d2794d789727b9f7d01ec27f75

Domains:

googleservice[.]xyz

docstream[.]online

isosecurity[.]xyz

filestream[.]download

coinbigex[.]com

coinbig[.]dev

galaxydigital[.]cloud

kraken-dev[.]com

innoenergy[.]info

lemniscap[.]cc

dekryptcap[.]digital

fastercapital[.]cc

circlecapital[.]us

lundbergs[.]cc

abiesvc[.]com

deepmind[.]fund

abiesvc[.]info

googleservice[.]icu

IP:

104.168.160[.]8

104.168.158[.]224

104.168.160[.]6

104.168.158[.]103

# 资讯 # 黑客 # 企业安全 # 钓鱼文档
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
01摘要
    02分析
      03总结
        04 IOC