警惕借新冠病毒肺炎疫情展开的黑客攻击

自新型冠状病毒感染的肺炎疫情发生以来,绿盟科技高度关注不法分子使用疫情话题发起的黑客攻击。通过对近期网络威胁行为的跟踪与分析,我们发现在经过一段时间的试探过程后,黑客已将新型冠状病毒肺炎疫情信息融入到互联网黑产攻击链和产业链当中,对疫情信息关注者发动攻击。

疫情信息利用形式

鱼叉邮件

鱼叉邮件是黑客攻击过程中社会工程学的主要表现,因此攻击者通常会根据时事新闻更新鱼叉邮件的诱饵信息内容。此次新冠肺炎疫情显然给攻击者提供了借题发挥的良好平台。绿盟科技发现,近期已有主流恶意邮件传播的木马家族在诱饵内容中加入了疫情相关信息,借此增加邮件诱饵的可信度。

FORMBOOK木马利用肺炎疫情发动鱼叉邮件攻击

绿盟科技近期捕获了FormBook木马利用肺炎疫情发起的攻击事件。该起攻击事件中,攻击者将疫情信息融入鱼叉邮件诱饵中,设计了欺骗度极高的社工内容,借此攻击罗马尼亚的机动车制造商。

鱼叉邮件诱饵

该诱饵邮件内容如下:

在精心构造的社工邮件内容中,攻击者伪装为美嘉科技(megatech)员工,催促邮件接收者尽快检查附件内容并回复。为提高可信度,邮件中声称该因为受新冠肺炎疫情影响,该公司将放假延长到2月9日,并延期至2月10日复工(Because of the infflience of coronavirus, our holiday has been extended to 9th Feb, we will return to work fully on the 10th Feb)。

从邮件内容来看,攻击者对国内时事较为了解,可能是有组织的黑客团体。

附件文件REQUEST1.iso

该邮件的恶意载荷包含两层伪装。光盘镜像文件REQUEST1.iso中包含一个屏幕保护文件co2.scr,实际为恶意的PE可执行文件:

混淆外壳co2.scr

co2.scr是.net外壳程序,混淆了函数名、函数内容以及代码逻辑,用来干扰杀毒引擎和分析软件的分析:

对该程序脱壳后,可以获取第二层载荷PLxHldNnIKOb.exe。

加载器PLxHldNnIKOb.exe

PLxHldNnIKOb.exe是Dropper程序,将自身资源段中携带的二进制文件解密并使用指定方式加载运行。根据配置的不同,该程序支持以下恶意行为:

标志位恶意行为
flag检测虚拟环境
flag2检测监视工具
flag3延迟启动
flag4隐藏本体文件
flag5持久化
flag6将资源释放至指定目录并运行
flag7将资源释放至内存并运行
flag8将资源作为汇编加载并运行
flag9重新启用用户账户控制
flag10下载执行

该程序使用隔位异或的方式解密资源段内容,解密键为OOmmuoPtHAHiIjANYoKqZhYfb:

根据设置,PLxHldNnIKOb.exe程序运行后会将最终载荷hRNfZekS加载至内存执行。

最终载荷hRNfZekS

Dropper文件释放运行的最终载荷是新版本的FormBook木马程序,连接C&C为www.4my.fans。

FormBook是一款多功能木马,主要用于窃取用户主机信息或作为跳板下载执行其他恶意程序。

FormBook木马有高度对抗行为,会通过创建傀儡进程,反向注入等行为将注入行为复杂化。

受C&C指令控制,FormBook木马可以执行以下行为:

指令码参数行为
1        URL        下载并执行
2        URL        更新木马
3        N/A        删除木马
4        command        CMD命令
5        N/A        清除浏览器Cookie
6        N/A        重启
7        N/A        关机
8        N/A        监听
9        URL        下载并解压

小结

FormBook是有较长历史的木马程序,被国际上多个黑客组织大量使用。目前,搭载FormBook的鱼叉邮件已成为对邮件使用者的主要威胁种类之一。该起借助冠状病毒信息的鱼叉邮件攻击事件表明,黑客组织对攻击流程中载荷投递阶段的设计十分重视,更新速度快,诱饵质量高。邮件用户切不可因邮件内容的高可信度而麻痹大意,应谨慎对待邮件附件,不运行未知程序,将可疑文件交由安全人员处理。

Emotet木马借助疫情防控邮件传播

随着疫情的发展,作为潜在疫区的日本备受国际社会的关注。截至2月19日,日本新冠肺炎确诊病例累计已达705例。

日本的线上安全形式同样不容乐观。与FormBook类似,同属于知名邮件木马的Emotet木马家族,近期也使用包含新冠肺炎疫情信息的邮件在日本进行传播。

鱼叉邮件诱饵

这些针对日本的鱼叉邮件,发件者普遍伪装为日本各县市的保健所,邮件内容在强调新冠肺炎疫情的同时,要求收件者打开附件中的“对策”或“通知”文件。

doc文档载荷

这些邮件附带的doc文档,显示社工内容欺骗用户运行内置的vba脚本,该vba脚本会运行powershell命令,安装Emotet木马程序。

Emotet木马

Emotet家族属于银行木马,出现于2014年,主要以垃圾邮件形式传播,感染Windows主机后并盗取用户邮箱来获得重要个人财务信息。近年来,Emotet在多起事件中被发现开始用于传播其他恶意家族,涉及银行木马、DDoS和勒索等。

Emotet传播的其他部分恶意家族分类如下表所示:

有信息显示,Emotet木马主要受黑客组织Mealybug操纵,从2014年开始维护Emotet代码并展开多次攻击。

该利用疫情信息传播的邮件中搭载的Emotet木马是该家族的最新版本,标记为Emotet_Doc_Downloader_C,在doc类型恶意文件中非常多见:

小结

这起攻击事件表明,Emotet成为恶意邮件传播的主要木马家族绝非偶然。无论是攻击时间(最早出现在1月底)还是诱饵质量(保健所名称和联系方式属实),Emotet都走在了恶意邮件家族的前列。普通邮件用户在接触到外文类型的邮件时,应默认按照恶意邮件来进行处理,千万不要一时好奇,被攻击者所利用。

热点名称的恶意程序

除鱼叉邮件外,部分攻击者也会使用热点关键词作为文件名称,投递恶意程序进行攻击。

部分恶意程序名称与主要功能见下表:

名称主要功能
冠状病毒.exe数据擦除木马
NCoV Virus.exe数据擦除木马
CoronaVirus_Safety_Measures.exeAutoit脚本木马
菲律宾各大楼冠状肺炎名单.exeRAT远控木马
新型冠状病毒肺炎病例全国已5名患者死亡;警惕!!.exeGh0st RAT变种木马

这些程序大多是数据清除程序或远控木马,使用热点事件进行简单的社会工程学加工,属于愿者上钩型。

总结

IoC

hash

名称MD5
FormBook鱼叉邮件85bff5e26ec06b8cc5732cd2d5eea187
REQUEST1.iso6574e01aedbffafcb5d30cf7479ee1c4
co2.scr040cd479de14d9bf215d9ca7d7a9d575
FormBook木马10f4dbb9fb1bdafe3fe69b94eccc2b4b
Emotet_Doc8c809b4ac6d95ce85a0f04cd04b7a7ea
Emotet_Doc586fb4a6ffdfeb423f1f1782aaa9bb9f
Emotet_Doc8800ebd065b52468fa778b4527437f5a
Emotet_Doc379959d80d0bfc45aab6437474d1f727
冠状病毒.exe674805b536e872a7b6412711699ee44f
NCoV Virus.exef62aad0355de69417400498c7ff6fd03
CoronaVirus_Safety_Measures.exe4d30ea0082881d85ff865140b284ec3f
菲律宾各大楼冠状肺炎名单.exe87ad582f478099a6d98bf4b2527d0175
新型冠状病毒肺炎病例全国已5名患者死亡;警惕!!.exeA30391c51e0f2e57aa38bbe079c64e26

C&C

www.4my[.]fans

143.92.56.122:2020

关于伏影实验室

伏影实验室专注于安全威胁研究与监测技术,包括但不限于威胁识别技术,威胁跟踪技术,威胁捕获技术,威胁主体识别技术。研究目标包括:僵尸网络威胁,DDOS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁 及 新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。

Spread the word. Share this post!

Meet The Author

伏影实验室专注于安全威胁与监测技术研究。研究目标包括僵尸网络威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。

Leave Comment