当前位置:首页 > 网络安全 > 正文内容

近期东欧地区某黑产团伙钓鱼文档分析

访客4年前 (2020-10-10)网络安全876

1.摘要?

近期,安恒威胁情报中心猎影实验室监测捕获到一些以博彩为主题的钓鱼文档。诱饵文档使用模糊的表格照片,诱导受害者打开宏代码。样本通过bitsadmin从挂马网站下载后续恶意程序,并通过pastebin[.]pl、rentry[.]co这类网站的文本共享功能实现后续恶意代码的托管。

通过对样本进行详细分析与溯源,我们发现这些样本疑似属于东欧地区某黑产组织。

2.样本清单

样本文档名使用的语言为土耳其语,翻译之后为” betlio营销预算-1.xls”,” Restbet交易.xls”,”清单.xls”和”投注构造信息.xls”。可以看到都是与bo cai行业相关的诱饵内容,Restbet是一家客户主要来自土耳其的投注网站。截至文章发出前这些文档的检测率都不高,攻击者将恶意代码通过多阶段部署执行,躲过了较多杀软的查杀。

3.样本分析

我们选择对44c04378781cbe4d91b76143961b1df2进行详细的样本分析,可以看到目前检测率仍然较低:

样本使用混淆的宏代码,宏代码中”Bu?almaKitab?”、” Sayfa1”等为土耳其语:

文档使用模糊的表格图片诱导用户打开宏:

启用宏后最终会执行以下命令:

对其中base64编码的内容解码后可得:

这里通过bitsadmin从

https://prntcs[.]com/update.exe下载后续恶意程序并运行,由于此链接的恶意程序更新较为频繁,这里分析的为近期捕获样本,hash值为:

d07e20a269f8e36630a0607562fec533。

样本中有PDB字符串,为

C:\Users\admin\Desktop\Fikra103\Fikra103\obj\Debug鶽e.pdb,Fikra源语言为The Arab语,意为理念。获得此样本的时间为2020-10-10 01:04:19。

发文前该链接所挂的最新的样本hash值为b3d0dd3cd59eb99758f6845ac81003ef,检出率很低,PDB信息同样为:

C:\Users\admin\Desktop\Fikra103\Fikra103\obj\Debug鶽e.pdb

样本通过.NET编写。可以看到攻击者对该恶意程序的命名也为”Fikra103”

通过访问https://rentry[.]co/fbgdf/raw来获取下一阶段的恶意代码(目前此链接已经404)

内容使用base64编码,在解码后得到rawAssembly数据,通过LateCall运行下载的恶意代码

对恶意代码base64解码并修复PE头之后,得到最终的远控程序,我们所分析的样本中提取出的文件hash值为:

3ffe2f6f318a87670c61001fe76d7569

同样使用.NET编写,是个比较简单的远控软件,体积也很小:

这里是该远控的回连模块,回连IP地址与端口写在Config里:

回连的地址可以得到为79.134.225[.]88:2222,key为”ZengiN”。对这里的id字符串解base64后,可以得到”NyanCatRevenge”

通过“NyanCatRevenge”可以在github上找到此远控的开源源码,作者声明仅用于学习测试使用,却被攻击者用于牟取非法利益。

该远控的功能大致为收集受害机设备信息、收集受害机摄像头信息、收集受害机窗口文本信息等。

4.关联分析?

在安恒威胁情报中心平台对回连地址”79.134.225[.]88”进行查询,可以看到不少名为update.exe的样本,为https://prntcs[.]com/update.exe链接的部分历史恶意样本。

在样本2f4b1e135657c45b41aa0cb4fda974bf的Manifest信息中也能找到”Fikra103”,且文件命名为update.v.02.10.exe,该样本的TTP与我们分析的样本基本一致,可以判断攻击者仍对恶意程序进行开发和迭代,并且命名为”Fikra103”。该样本后续的恶意代码放在https://pastebin[.]pl/view/raw/ff2227da托管,该地址截至文章发出前仍可访问。

对关联的域名进行分析可以发现该地址曾被多个恶意域名解析:

其中duruawka.linkpc[.]net和duruawka.ddns[.]net截至发文前仍解析到此IP:

在这些域名下可以找到一些回连IP同为”79.134.225[.]88”的NanoBot和Nanocore样本,样本的命名使用账单拷贝这类。

捕获到的样本中有首次发现时间为3月份的,使用的宏代码一致,下载后续payload也是使用bitsadmin,地址为https://babayev[.]xyz/ax/brat.true

对该域名溯源,可以发现两个使用相似宏代码且回连此域名的样本d6d18b3714b4bab436f6f933f9e12f91和807d681ef7aa696146a453728f41ca63

上面两个样本的最早发现时间在2020年的2月份,这些样本回连的下载的远控程序并非本次发现的”Fikra103”程序,国外友商Reason Security在其博客中对之前的样本的进行了详细分析。虽然后续的恶意程序不同,但这些样本的诱饵文档使用的下载手法是一致的:利用宏代码执行bitsadmin命令从链接下载恶意程序,并且在受害机上都命名为”Com100Chats.exe”。

可以判断上面提及的样本来自于同一个团队,攻击通常使用钓鱼文档。近期的xls钓鱼更新了TTP,钓鱼文档会从https://prntcs[.]com/update.exe下载后续样本,此链接截至文章发出前仍活跃,且链接的文件在近期也活跃更新迭代,攻击者的攻击活动也仍在进行中。

5.总结?

本次攻击的主要目标为东欧地区bo cai行业相关人员,在对其以往攻击的溯源中也找到了不少无特定主题的攻击样本,多伪装为支付凭证等内容。该团伙使用的恶意程序范围较广,大多都为网络上获取的开源恶意程序或是商业远控软件,此次分析的”Fikra103”由该攻击者结合开源远控RevengeRAT的自行开发。

猎影实验室提醒广大用户及企业提高警惕,加强员工安全意识,不打开可疑文档,谨慎启用office文档的宏代码功能。

6.IOC?

md5

2f4b1e135657c45b41aa0cb4fda974bf

b86a7c2ec9b89557c5b5def43b844301

7de965dc865fd5ea4a91bcff7f27fa37

6fcbe40f52a62ccffcd90610053acf71

0fc1dc6a4929c59aa1ca7feb2cc52c43

9c59125ce3cf3424fab0dc75ab5e1e26

2493520e72b6495d8ff998a192859439

1e777c00d8cb1fd402b03fb5c3002d67

6cb33308c0a555c8c260564cbdcf5552

c7661ab7c440ddc5c85bd9883ee8678a

0a37128837cdcd86818ca47810503f8b

3a8b68950b52d576dc32f4f99567622b

72e09b282bcc395d65e4aa3467f4f88b

d6d18b3714b4bab436f6f933f9e12f91

807d681ef7aa696146a453728f41ca63

d07e20a269f8e36630a0607562fec533

ea67df6a7be3d9e91b732935f181f8d3

3ffe2f6f318a87670c61001fe76d7569

c3828368609653b2ae36295b34db2ba9

022beb9a89e155d9e1c2f4315423d704

44c04378781cbe4d91b76143961b1df2

e3174e02819cef48015082803ef5ff2b

b3d0dd3cd59eb99758f6845ac81003ef

duruawka.linkpc[.]net

duruawka.ddns[.]net

prntcs[.]com/update.exe

babayev[.]xyz/ax/brat.true

79.134.225[.]88

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:http://therlest.com/107641.html

分享给朋友:

“近期东欧地区某黑产团伙钓鱼文档分析” 的相关文章

创业板投资风险揭示书,创业板风险揭示书

保荐机构(主承销商):中泰证券股份有限公司 苏州天路光科技股份有限公司(以下简称“天路科技”、“发行人”或“公司”)首次公开发行不超过2579万股普通股(a股)(以下简称“本次发行”)的申请,已经深圳证券交易所(以下简称“深交所”)创业板上市委员会委员审议通过,并经中国证券监督管理委员会(以下...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

干洗对衣物有害吗

干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

尚村最新水貂皮毛价格,丹麦貂皮衣大概多少钱

样子单女款大概貂皮在8000,014-3-24河北尚村蓝狐皮价格,不过价格一般比较高的啊,这个就要看品牌的了,多看看,我要打印IE收藏放入公文包我要留言查看留言文章来源:中国皮草网添加,60公分6000左右,水貂皮大衣最新价格有木有,这个主要看质量了,水貂皮草大衣真假看皮面:如果是真毛。 元/张,5...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

奥门币币对人民币换算 - 澳元兑换人民币汇率

在珠海拱北口岸地下商城,公布当日主要交易货币“美元、此外汇牌价汇率表仅供参考=6点0442则一元人民币换0,点04762元,很高兴为你解答。 1点2208澳门元数据对仅供参考,划算 另外,另外汇率是不断变化的,可以百度输入"澳门元对人民币汇率,货币兑换1澳元=4点。 在外面买东西的小店不是太正规的,...

评论列表

柔侣私野
3年前 (2022-05-28)

判断上面提及的样本来自于同一个团队,攻击通常使用钓鱼文档。近期的xls钓鱼更新了TTP,钓鱼文档会从https://prntcs[.]com/update.exe下载后续样本,此链接截至文章发出前仍活跃,且链接的文件在近期也活跃更新迭代,攻击者的攻击活动也仍在进行中。5.总结?本

双笙几渡
3年前 (2022-05-28)

2f4b1e135657c45b41aa0cb4fda974bfb86a7c2ec9b89557c5b5def43b8443017de965dc865fd5ea4a91bcff7f27fa37

依疚软祣
3年前 (2022-05-28)

队,攻击通常使用钓鱼文档。近期的xls钓鱼更新了TTP,钓鱼文档会从https://prntcs[.]com/update.exe下载后续样本,此链接截至文章发出前仍活跃,且链接的文件在近期也活跃更新迭代,攻击者的攻击活动也仍在进行中。5.总结?本次攻击的主要目标为东欧地区bo c

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。