1.背景
腾讯安全科恩实验室(以下简称“腾讯科恩”)持续基于多源数据的威胁情报分析以及系统自动化方式,追踪捕获基于钓鱼样本的攻击事件。近日腾讯科恩发现以“简历”和“人事调整”为主题的钓鱼攻击活动,呈现增长趋势。
其中,典型的方式为攻击者编写钓鱼木马文件,并将其伪装成WORD、WPS等文档格式的图标,使用相关具有诱导性的主题进行命名后,再利用社交聊天软件向目标人员进行投递,接收文件者一旦点击运行就有可能被安装Cobalt Strike木马、Metasploit木马或其他类型后门程序,导致电脑被远程控制或重要资料被窃取。
捕获钓鱼样本样例:
md5 | 钓鱼文件名 | 近期捕获时间 |
2d155417c6eb044202ec388d843816e6 | 张*肖个人简历 .exe | 2024/5/27 11:13:15 |
ba8cef2042dde3c0f5ddedb64869ae6d | 刘*欣简历-**电子科技大学-计算机科学与技术学院.pdf.exe | 2024/5/27 16:59:21 |
4094b9cd22436238899814591c554d34 | 个人简历.exe | 2024/5/29 10:09:57 |
0e355aa661e9587f682e6ecdfbdc0ccb | 面试简历.exe | 2024/6/4 16:43:27 |
acce1155cc03a607f73ae70893dfd81e | 2024年**银行高管及主要部门人员调整、裁员与任命详细名单公告完整版docx.exe | 2024/6/5 11:56:05 |
2aabc1b60e4c2fc528d43cac0020d383 | 个人简历.exe | 2024/6/6 14:40:13 |
2.技术分析
样本ba8cef2042dde3c0f5ddedb64869ae6d,会使得终端加载Cobalt Strike木马,使用域前置手法与C2server进行通信,域前置Host为tianya.baidu[.]com,C2server地址为https://139.159.204[.]247[:]18443/jquery-3.3.2.slim.min.js
样本4094b9cd22436238899814591c554d34,解密出shellcode并通过EnumSystemLocalesA加载回调的方式执行,下载Cobalt Strike木马的c2server地址为https[:]//www.jianjade.com:2096/jquery-3.3.2.slim.min.js
样本0e355aa661e9587f682e6ecdfbdc0ccb,会执行Metasploit木马,连接C2地址为175.178.9[.]139[:]2333,从shellcode中使用的十六进制参数对应的十进制数值可以映射出C2地址,对应关系为:
091D=2333
AF=175
B2=178
09=9
8B=139
样本acce1155cc03a607f73ae70893dfd81e为.NET,会编写的后门木马,首先连接C2地址62.234.53[.]32[:]8088
然后搜集当前IP、用户名、系统版本等信息并发送至C2,最后等待接受远程指令
相关IOC
2d155417c6eb044202ec388d843816e6 |
ba8cef2042dde3c0f5ddedb64869ae6d |
4094b9cd22436238899814591c554d34 |
0e355aa661e9587f682e6ecdfbdc0ccb |
acce1155cc03a607f73ae70893dfd81e |
2aabc1b60e4c2fc528d43cac0020d383 |
C2server:
https[:]//www.jianjade.com:2096/jquery-3.3.1.min.js |
https[:]//www.jianjade.com:2096/jquery-3.3.2.slim.min.js |
https[:]//139.159.204.247:18443/jquery-3.3.2.slim.min.js |
https[:]//124.71.102[.]140/fwlink |
62.234.53[.]32[:]8088 |
175.178.9[.]139[:]2333 |
产品体验