疫情相关钓鱼邮件增加近6倍近几个月,随着新型冠状病毒肺炎“COVID-19”在全球的快速传播,多国卫生部门和regions系统不堪重负。同时,攻击者趁火打劫,利用钓鱼邮件对政府、医疗等重要部门进行攻击。慧眼邮箱通过近期监测数据发现,以疫情为钓鱼邮件内容的邮件数量明显增加,其中“冒充WHO组织”、“骗取捐款”、“骗取疫情物资”,其中以“疫情进展(信息)欺骗”最为常见。随机截取并分析了几家瑞燕邮件的部分流量数据,发现疫情相关钓鱼邮件占钓鱼邮件总量的比例在1月份为0%,2月份为0.0634%,3月份为0.4013%。与2月份相比,3月份与疫情相关的钓鱼邮件数量增长了近6倍。同时,攻击者还热衷于追逐“热点”,根据疫情的最新动向不断更新钓鱼技术,利用受害者的恐惧和好奇心来增加钓鱼攻击的成功几率。2月初,在国内疫情较为严重的时候,攻击者利用“中国冠状病毒病例:了解你所在地区有多少”等与中国疫情相关的话题和内容,在邮件钓鱼中投放木马。然而,在3月中旬,意大利疫情迅速恶化之际,攻击者转而利用“COVID-19批准的针对中国和意大利的补救措施”等国际热点内容进行邮件钓鱼,投放木马。2月:利用中国疫情相关内容发起攻击3月:利用国际热点内容发起攻击在采样分析过程中,中锐天下安全专家团队发现多封由“SWEED”发起的疫情相关钓鱼邮件和恶意附件》黑客组织种类繁多,大部分都是针对分发AgentTesla(2014年甚至更早出现的信息窃取工具),利用CVE-2017-11882漏洞发起攻击,向注册在以下邮箱的邮箱返回数据mailhostbox通过smtp协议。种种迹象与“SWEED”黑客组织的相关情报完全吻合。SWEED至少从2017年开始运作,主要使用信息窃取工具和远程访问木马(RAT)来瞄准其目标。钓鱼邮件溯源分析我们以提取的两封由“SWEED”黑客组织发起的钓鱼邮件为例,进行详细的溯源分析。1.Email1:CoronaviruscasesinChina:FindouthowhothphishingemailsisinyourareaTextphishingemailattachmentscontainattachments:list.xlsx附件MD5:5fc077636a950cd5f89468e854c0e714附件联动分析,发现被用于多个威胁情报的CVE-2017-11882漏洞攻击于2020-03-1416:33:30首先攻击SmartEye监控的服务器。联动分析附件样本分析:样本list.xlsx(MD5:5FC077636A950CD5F89468E854C0E714)利用CVE-2017-11882公式编辑器漏洞,从http://216.170.123.111/file.exe下载文件到%AppData%\Roaming\vbc.exe执行。下载木马程序vbc.exe,加载一段ShellCode到内存中执行。加载一段ShellCode,执行ShellCode使用ZwSetInformationThread函数修改_Ethread结构体中的HideFromDebuggers进行反调试,然后动态获取一些用于进程注入的API地址。利用ZwSetInformationThread进行反调试,动态获取用于进程注入的API地址创建一个RegAsm.exe进程,将这段ShellCode注入到新创建的RegAsm.exe进程中。创建RegAsm.exe进程并注入ShellCode修改线程Context并恢复执行。修改线程ContextShellCode注入RegAsm.exe进程后,从http://216.170.123.111/nass.exe下载“nass.exe”,与vbc.exe功能相同。下载“nass.exe”,从http://216.170.123.111/MR_encrypted_D34A1CF.bin再次下载加密文件。下载“MR_encrypted_D34A1CF.bin”,解密后加载。加载并执行MR_encrypted_D34A1CF.bin解密后的EXE,为C#编写混淆的Agenttesla木马,会收集计算机名、用户名、系统版本、内存大小等信息,主要用于窃取浏览器访问记录和保存的账号和密码,同时具有键盘按键监控和剪贴板功能,支持截图。收集用户名、计算机名,收集系统版本和内存大小,窃取浏览器访问记录和保存的账号、密码,监听键盘按键、剪贴板,支持截图等。收集的信息支持HTTP、FTP、SMTP三种方式返回。此示例配置通过SMTP发回。配置存储在恶意程序中的登录方法通过SMTP发回。解密后可以得到攻击者使用的邮箱账号密码。2.邮件2:冠状病毒-H&QAUTO更新钓鱼邮件正文包含附件:H&QAUTO客户信函COVID-19update.doc附件MD5:1c87c6c304e5fd86126c76ae5d86223b3。附件样本分析:分析doc文件,程序调用Office公式编辑器,利用CVE-2017-11882漏洞进行攻击。调用命令行恶意文件运行调试后,会访问域名“sterilizationvalidation.com”下载PE文件“elb.exe”,该文件与Agenttesla木马功能相同。查看路径,它使用易受攻击的WordPress网站作为C&C节点。下载请求通过SMTP流量发送从主机获取的数据:wireshark截图(SMTP流量)从流量来看,攻击者通过mailhostbox邮箱服务商登录设置的邮箱,向自己发送邮件。邮件内容为受害者主机中的相关应用账号密码。SMTP协议数据包在发送受害者信息时,攻击者也在数据包中暴露了接收邮箱的账号密码。解密数据后,安全专家成功登录到攻击者的收件箱。攻击者邮箱收件箱这是SWEED黑客组接收回信的邮箱之一。自2020年1月19日收到第一封邮件以来,本邮箱已收到121封邮件。可以推断,疫情一爆发,攻击者就开始了相应的邮件钓鱼动作,并持续进行钓鱼攻击。4.对目标受害者的影响分析无论是钓鱼邮件“中国冠状病毒病例:了解您所在地区有多少”或“冠状病毒-H&QAUTO更新”,其中的恶意程序只是一个木马下载程序,并且最后执行的木马是Agenttesla木马。从此次截获的样本数据中,安全专家获得了“SWEED”黑客组织接收被盗密码的多个邮箱。在收件箱中共发现342封电子邮件,对应342名受害者。去重后,相关账号密码被盗。多达1307个,主要是Chrome和Firefox中保存的密码。受害者主机返回的数据返回邮件中账户分布比例虽然木马上传程序没有设置受害者IP的记录,但安全专家提取EML的Received头中的发件人客户端IP作为受害者IP,统计数据在57个国家/地区发现了受害者。安全专家根据登录URL、受害者IP、账号三个属性,进一步筛选出20余名中国受害者,获得了30余个国内账号。经核实,发现部分账号仍然可以在线登录。相关安全建议1、已购买“慧眼邮件攻击溯源系统”的单位:(1)疫情相关钓鱼邮件实时检测在慧眼“威胁检测”->“专家模式”下选择威胁邮件邮件,搜索主题或邮件正文中带有疫情相关关键词的邮件,并保存为场景,实现对疫情特殊时期威胁邮件的实时监控。疫情相关的关键词可以参考:疫情|疫情|新冠病毒|病毒|武汉|流感|健康|中华人民共和国国家卫生健康委员会|卫生应急办公室|旅游信息采集申请表|coronavirus|wuhan|influenza|health|COVID-19|Facemask|thermometer|WorldHealthOrganzaction通过关键词设置实现抗疫期间特定场景下威胁邮件的实时监控(二)自定义群组疫情相关钓鱼邮件在瑞燕邮箱的“业务管理”->“自定义规则”->“添加”主题设置为疫情相关条目时,会添加到“疫情钓鱼”分组,实现自定义分组。后期可以在界面选择自定义群组,对疫情相关钓鱼邮件进行专项排查。自定义设置规则,实现对特定威胁邮件的自动分组(3)MDR服务:邮件攻击溯源服务针对政企单位自身或部署瑞燕邮箱发现威胁邮件,中锐天下安全专家根据需求进行深度溯源分析,包括邮件来源溯源分析、邮件影响范围、邮件攻击目的、攻击者身份背景等,最终以报告的形式交付,适用于高级邮件攻击事件的溯源分析。2、普通邮箱用户:谨防“疫情”、“新型冠状病毒”、“COVID-19”等相关热词邮件,不要随意下载、打开来源不明的相关邮件和附件。除了利用office漏洞和附件中的PE文件外,office宏攻击最为常见。建议在Office选项->信任中心->信任中心设置->宏设置->禁止所有宏中设置关闭office宏功能,防止被宏病毒感染。如果文中有网站链接或可点击的图片,可以右击查看链接网址是否与描述一致。当URL中包含当前邮箱地址或使用短链接时,如果不是业务需要,则很可能是钓鱼网站。3.与流行病相关的高频电子邮件名称(部分)诈骗型网络钓鱼电子邮件:中国的冠状病毒病例:了解您所在地区有多少供应商-面罩/额头温度计TheLatestInfoOnPharmaceuticalTreatmentsAndVaccines。我们有很多口罩!!!你的健康受到威胁!COVID-19批准针对中国、意大利的补救措施WHO虚假:COVID-19更新COVID-19更新RE:最终控制方法|世界卫生组织|世卫组织终于公布了重要的COVID-19解决方案作为一种总控制方法被发现回复:冠状病毒病(COVID-19)爆发预防和治疗更新。世界卫生组织/让我们一起抗击冠状病毒世界卫生组织-信函-COVID-19-预防措施附件名称:COVID-19UPDATE_PDF.EXECV+PICTURES2938498-02-27-2020.arjlist.xlsxmessage.txt.scruiso9_cn.exe冠状病毒疾病(COVID-19)CURE.exeBreaking___COVID-19SolutionAnnounced.imggame_zy0520.pifCORONA_TREATMENT.pdf.execovid-19.imgCOVID-19WHORECOMENDEDV.exeH&QAUTO客户信函COVID-19.docWHO-COVID-19Letter.doc4.相关IOCS:
