当前位置:首页 > 网络安全 > 正文内容

近期东欧地区某黑产团伙钓鱼文档分析

访客4年前 (2020-10-10)网络安全887

1.摘要?

近期,安恒威胁情报中心猎影实验室监测捕获到一些以博彩为主题的钓鱼文档。诱饵文档使用模糊的表格照片,诱导受害者打开宏代码。样本通过bitsadmin从挂马网站下载后续恶意程序,并通过pastebin[.]pl、rentry[.]co这类网站的文本共享功能实现后续恶意代码的托管。

通过对样本进行详细分析与溯源,我们发现这些样本疑似属于东欧地区某黑产组织。

2.样本清单

样本文档名使用的语言为土耳其语,翻译之后为” betlio营销预算-1.xls”,” Restbet交易.xls”,”清单.xls”和”投注构造信息.xls”。可以看到都是与bo cai行业相关的诱饵内容,Restbet是一家客户主要来自土耳其的投注网站。截至文章发出前这些文档的检测率都不高,攻击者将恶意代码通过多阶段部署执行,躲过了较多杀软的查杀。

3.样本分析

我们选择对44c04378781cbe4d91b76143961b1df2进行详细的样本分析,可以看到目前检测率仍然较低:

样本使用混淆的宏代码,宏代码中”Bu?almaKitab?”、” Sayfa1”等为土耳其语:

文档使用模糊的表格图片诱导用户打开宏:

启用宏后最终会执行以下命令:

对其中base64编码的内容解码后可得:

这里通过bitsadmin从

https://prntcs[.]com/update.exe下载后续恶意程序并运行,由于此链接的恶意程序更新较为频繁,这里分析的为近期捕获样本,hash值为:

d07e20a269f8e36630a0607562fec533。

样本中有PDB字符串,为

C:\Users\admin\Desktop\Fikra103\Fikra103\obj\Debug鶽e.pdb,Fikra源语言为The Arab语,意为理念。获得此样本的时间为2020-10-10 01:04:19。

发文前该链接所挂的最新的样本hash值为b3d0dd3cd59eb99758f6845ac81003ef,检出率很低,PDB信息同样为:

C:\Users\admin\Desktop\Fikra103\Fikra103\obj\Debug鶽e.pdb

样本通过.NET编写。可以看到攻击者对该恶意程序的命名也为”Fikra103”

通过访问https://rentry[.]co/fbgdf/raw来获取下一阶段的恶意代码(目前此链接已经404)

内容使用base64编码,在解码后得到rawAssembly数据,通过LateCall运行下载的恶意代码

对恶意代码base64解码并修复PE头之后,得到最终的远控程序,我们所分析的样本中提取出的文件hash值为:

3ffe2f6f318a87670c61001fe76d7569

同样使用.NET编写,是个比较简单的远控软件,体积也很小:

这里是该远控的回连模块,回连IP地址与端口写在Config里:

回连的地址可以得到为79.134.225[.]88:2222,key为”ZengiN”。对这里的id字符串解base64后,可以得到”NyanCatRevenge”

通过“NyanCatRevenge”可以在github上找到此远控的开源源码,作者声明仅用于学习测试使用,却被攻击者用于牟取非法利益。

该远控的功能大致为收集受害机设备信息、收集受害机摄像头信息、收集受害机窗口文本信息等。

4.关联分析?

在安恒威胁情报中心平台对回连地址”79.134.225[.]88”进行查询,可以看到不少名为update.exe的样本,为https://prntcs[.]com/update.exe链接的部分历史恶意样本。

在样本2f4b1e135657c45b41aa0cb4fda974bf的Manifest信息中也能找到”Fikra103”,且文件命名为update.v.02.10.exe,该样本的TTP与我们分析的样本基本一致,可以判断攻击者仍对恶意程序进行开发和迭代,并且命名为”Fikra103”。该样本后续的恶意代码放在https://pastebin[.]pl/view/raw/ff2227da托管,该地址截至文章发出前仍可访问。

对关联的域名进行分析可以发现该地址曾被多个恶意域名解析:

其中duruawka.linkpc[.]net和duruawka.ddns[.]net截至发文前仍解析到此IP:

在这些域名下可以找到一些回连IP同为”79.134.225[.]88”的NanoBot和Nanocore样本,样本的命名使用账单拷贝这类。

捕获到的样本中有首次发现时间为3月份的,使用的宏代码一致,下载后续payload也是使用bitsadmin,地址为https://babayev[.]xyz/ax/brat.true

对该域名溯源,可以发现两个使用相似宏代码且回连此域名的样本d6d18b3714b4bab436f6f933f9e12f91和807d681ef7aa696146a453728f41ca63

上面两个样本的最早发现时间在2020年的2月份,这些样本回连的下载的远控程序并非本次发现的”Fikra103”程序,国外友商Reason Security在其博客中对之前的样本的进行了详细分析。虽然后续的恶意程序不同,但这些样本的诱饵文档使用的下载手法是一致的:利用宏代码执行bitsadmin命令从链接下载恶意程序,并且在受害机上都命名为”Com100Chats.exe”。

可以判断上面提及的样本来自于同一个团队,攻击通常使用钓鱼文档。近期的xls钓鱼更新了TTP,钓鱼文档会从https://prntcs[.]com/update.exe下载后续样本,此链接截至文章发出前仍活跃,且链接的文件在近期也活跃更新迭代,攻击者的攻击活动也仍在进行中。

5.总结?

本次攻击的主要目标为东欧地区bo cai行业相关人员,在对其以往攻击的溯源中也找到了不少无特定主题的攻击样本,多伪装为支付凭证等内容。该团伙使用的恶意程序范围较广,大多都为网络上获取的开源恶意程序或是商业远控软件,此次分析的”Fikra103”由该攻击者结合开源远控RevengeRAT的自行开发。

猎影实验室提醒广大用户及企业提高警惕,加强员工安全意识,不打开可疑文档,谨慎启用office文档的宏代码功能。

6.IOC?

md5

2f4b1e135657c45b41aa0cb4fda974bf

b86a7c2ec9b89557c5b5def43b844301

7de965dc865fd5ea4a91bcff7f27fa37

6fcbe40f52a62ccffcd90610053acf71

0fc1dc6a4929c59aa1ca7feb2cc52c43

9c59125ce3cf3424fab0dc75ab5e1e26

2493520e72b6495d8ff998a192859439

1e777c00d8cb1fd402b03fb5c3002d67

6cb33308c0a555c8c260564cbdcf5552

c7661ab7c440ddc5c85bd9883ee8678a

0a37128837cdcd86818ca47810503f8b

3a8b68950b52d576dc32f4f99567622b

72e09b282bcc395d65e4aa3467f4f88b

d6d18b3714b4bab436f6f933f9e12f91

807d681ef7aa696146a453728f41ca63

d07e20a269f8e36630a0607562fec533

ea67df6a7be3d9e91b732935f181f8d3

3ffe2f6f318a87670c61001fe76d7569

c3828368609653b2ae36295b34db2ba9

022beb9a89e155d9e1c2f4315423d704

44c04378781cbe4d91b76143961b1df2

e3174e02819cef48015082803ef5ff2b

b3d0dd3cd59eb99758f6845ac81003ef

duruawka.linkpc[.]net

duruawka.ddns[.]net

prntcs[.]com/update.exe

babayev[.]xyz/ax/brat.true

79.134.225[.]88

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/107641.html

分享给朋友:

“近期东欧地区某黑产团伙钓鱼文档分析” 的相关文章

立秋是几月几日

说到立秋,大家可能还会觉得比较远,确实算一下也还有将近一个月的时间,大家知道今年的立秋是在什么时候吗,具体的时间是2020年8月7日09:06:03,星期五,农历六月十八,因此在这一天大家就可以吃很多的美食,那么接下来大家就随百思特小编一起了解看看~   立秋是几月...

洗米华小三(浅谈米花三笑的微博)

据长江网2021年11月26日23:49:22的最新消息,微博网友@ 爆料。 平安夜来临之际,事件,在网上炒得沸沸扬扬,引发全网热议! 据悉,洗米华小三。猜测这是洗米华在暗中帮助着Mandy。挺想看他老婆小三都抛弃他的场面。 1.洗米华小三 m...

干洗对衣物有害吗

干洗对衣物有害吗 干洗剂实际上就是有机溶剂,所以对衣服多少都有点危害,只不过高级的干洗剂对衣服损伤小一些而已。 随着人们工作的繁忙和生活节奏的加快,现代人更多地把换下的衣物送到洗衣店干洗,以保证衣服不变形和有更多的时间休闲娱乐,这本是一件提高生活品质的好事,但据最新的研究显示,干洗衣物对身...

宝钢价格行情最新报价,宝钢股份2021年10月钢材价格

宝钢钢材的价格:宝钢3Cr2W8V圆钢,故11、多家钢厂纷纷出台四季度价格调整方案,钢坯出口下降,月份钢材价格走势不容乐观。 要全面考虑下.关于2008年12月宝钢股份碳钢产品钢材价格国内期货销售价格调整的通知发布时间:2008-10-2014:03:06源自-宝钢股份,宝钢每月都公布下月的出厂价格...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

53度最便宜酱香郎酒_郎酒经典酱香53度

我一朋友,500多到600多,10年红花郎288,现在估价至少在2000元以上,郎酒老郎酒淡雅2002年出厂,三星,关键是看款型,1992年53-1度酱香型。 郎酒还是1898起步比较好。对了,或者以前的,未来两年必定疯长!不知道怎么上图,现在的价格是158元每瓶便宜,你好。 看目前郎酒的上涨势头,...

评论列表

柔侣私野
3年前 (2022-05-28)

判断上面提及的样本来自于同一个团队,攻击通常使用钓鱼文档。近期的xls钓鱼更新了TTP,钓鱼文档会从https://prntcs[.]com/update.exe下载后续样本,此链接截至文章发出前仍活跃,且链接的文件在近期也活跃更新迭代,攻击者的攻击活动也仍在进行中。5.总结?本

双笙几渡
3年前 (2022-05-28)

2f4b1e135657c45b41aa0cb4fda974bfb86a7c2ec9b89557c5b5def43b8443017de965dc865fd5ea4a91bcff7f27fa37

依疚软祣
3年前 (2022-05-28)

队,攻击通常使用钓鱼文档。近期的xls钓鱼更新了TTP,钓鱼文档会从https://prntcs[.]com/update.exe下载后续样本,此链接截至文章发出前仍活跃,且链接的文件在近期也活跃更新迭代,攻击者的攻击活动也仍在进行中。5.总结?本次攻击的主要目标为东欧地区bo c

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。