情报速递20240613|警惕以简历和人事调整为主题的钓鱼攻击
2024-6-13 14:35:12 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

1.背景

腾讯安全科恩实验室(以下简称“腾讯科恩”)持续基于多源数据的威胁情报分析以及系统自动化方式,追踪捕获基于钓鱼样本的攻击事件。近日腾讯科恩发现以“简历”和“人事调整”为主题的钓鱼攻击活动,呈现增长趋势。

其中,典型的方式为攻击者编写钓鱼木马文件,并将其伪装成WORD、WPS等文档格式的图标,使用相关具有诱导性的主题进行命名后,再利用社交聊天软件向目标人员进行投递,接收文件者一旦点击运行就有可能被安装Cobalt Strike木马、Metasploit木马或其他类型后门程序,导致电脑被远程控制或重要资料被窃取。 

捕获钓鱼样本样例:

md5

钓鱼文件名

近期捕获时间

2d155417c6eb044202ec388d843816e6

张*肖个人简历 .exe

2024/5/27 11:13:15

ba8cef2042dde3c0f5ddedb64869ae6d

刘*欣简历-**电子科技大学-计算机科学与技术学院.pdf.exe

2024/5/27 16:59:21

4094b9cd22436238899814591c554d34

个人简历.exe

2024/5/29 10:09:57

0e355aa661e9587f682e6ecdfbdc0ccb

面试简历.exe

2024/6/4 16:43:27

acce1155cc03a607f73ae70893dfd81e

2024年**银行高管及主要部门人员调整、裁员与任命详细名单公告完整版docx.exe

2024/6/5 11:56:05

2aabc1b60e4c2fc528d43cac0020d383

个人简历.exe

2024/6/6 14:40:13

2.技术分析

样本ba8cef2042dde3c0f5ddedb64869ae6d,会使得终端加载Cobalt Strike木马,使用域前置手法与C2server进行通信,域前置Host为tianya.baidu[.]com,C2server地址为https://139.159.204[.]247[:]18443/jquery-3.3.2.slim.min.js

样本4094b9cd22436238899814591c554d34,解密出shellcode并通过EnumSystemLocalesA加载回调的方式执行,下载Cobalt Strike木马的c2server地址为https[:]//www.jianjade.com:2096/jquery-3.3.2.slim.min.js

样本0e355aa661e9587f682e6ecdfbdc0ccb,会执行Metasploit木马,连接C2地址为175.178.9[.]139[:]2333,从shellcode中使用的十六进制参数对应的十进制数值可以映射出C2地址,对应关系为:

091D=2333

AF=175

B2=178

09=9

8B=139

样本acce1155cc03a607f73ae70893dfd81e为.NET,会编写的后门木马,首先连接C2地址62.234.53[.]32[:]8088

然后搜集当前IP、用户名、系统版本等信息并发送至C2,最后等待接受远程指令

相关IOC

MD5:

2d155417c6eb044202ec388d843816e6

ba8cef2042dde3c0f5ddedb64869ae6d

4094b9cd22436238899814591c554d34

0e355aa661e9587f682e6ecdfbdc0ccb

acce1155cc03a607f73ae70893dfd81e

2aabc1b60e4c2fc528d43cac0020d383

C2server:

https[:]//www.jianjade.com:2096/jquery-3.3.1.min.js

https[:]//www.jianjade.com:2096/jquery-3.3.2.slim.min.js

https[:]//139.159.204.247:18443/jquery-3.3.2.slim.min.js

https[:]//124.71.102[.]140/fwlink

C2:

62.234.53[.]32[:]8088

175.178.9[.]139[:]2333

产品体验





文章来源: https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247508521&idx=1&sn=c3b59beee90534fb331a083409f12f60&chksm=ec9f7b5adbe8f24c5dc7ec0ddb51593ffb50ac0ebfe869200272e3193fe7a4171862ecc8e129&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh