正文

报税月,一大波财务同事被钓鱼!(附高频攻击情报)

admin
admin V管理员 /0 评论 /110 阅读
0325
此篇文章发布距今已超过229天,您需要注意文章的内容或图片是否可用!

微步情报局最新观测到一个异常活跃的钓鱼攻击团伙,使用之前被多次曝光的多款黑产工具,包括“银狐”、“雪狼”、Zegost等。该团伙在极短时间内攻击了大量的用户,其整体攻击呈现如下特点:基于社工的钓鱼、大范围爆发式攻击、攻击手段多、攻击组件多且快速变换、攻击载荷存放多个位置、关联钓鱼域名多等。
作为被攻击方,微步情报局监控到访问钓鱼站点的用户正逐步增加,被控企业也不断增加,攻击覆盖行业包括:金融、高科技、能源、企事业单位等。相比于攻击者的高速进化和多样化对抗,很多企业却仍依靠传统杀毒来应对,导致企业在攻防对抗中不断失利,让黑产攻击得到快速发展。
下图为微步情报局捕获到的钓鱼网站和钓鱼文件:

这是近期无数起钓鱼攻击事件的缩影:使用“财务”、“医疗保险”等相关话题,通过社交软件、电子邮件等方式传播钓鱼链接或文件,针对金融、能源、企事业单位财务工作人员发起大规模钓鱼攻击。攻击效果非常明显,据微步互联网安全接入服务OneDNS数据显示,自3月1日开始个税申报以来,OneDNS拦截到的钓鱼页面数量显著上升(见下图),这意味着点击钓鱼链接的终端用户增多,钓鱼攻击覆盖的企业也越来越多。

微步终端安全平台OneSEC也在短时间内,相继在不同企业检出攻击行为,通过对捕获到的样本进行分析,认定均属于同一攻击团伙。具体告警如下图:

这是典型的”无文件攻击“,从钓鱼页面下载的加载器被执行后,通过一系列的绕过手法逃避杀软检测,然后连接C2下载Payload并执行。

这个攻击团伙异常活跃,据微步情报局拓线分析后发现:其不仅部署了大量的钓鱼网站和攻击资产,还利用多个公有云服务、第三方网站来存放不同的恶意文件,这些恶意文件中使用多种免杀手法去加载“银狐”、“雪狼”等C2中的Shellcode……整个攻击团伙呈现出攻击手法多、攻击组件多、攻击载荷存放灵活、钓鱼资产多等特点
01
攻击手法多:样本变种多、免杀手段多
不同钓鱼链接会下载不同的威胁样本,这些样本作为ShellCode加载器,有着不同的免杀手段用以逃避检测,达到加载RAT中Shellcode代码的目的部分样本及免杀手法整理如下:
步情报局在极短时间内就捕获数以百计的样本及其变种,这些样本有着不同的哈希(Hash)、指向不同的C2,这意味着攻击团伙企图利用快速更新样本并变换C2的“时间差”来逃避检测近期主流使用的样本哈希详见文末。
02
攻击资产多:远程管理工具更换频繁、C2上新快
微步情报局从不同样本中提取出了不同的远程管理工具,攻击团伙企图利用快速更换工具的办法来绕过检测。部分远程工具及哈希如下:
经微步情报局拓线后发现,至少50个C2(命令与控制)服务器参与了此次钓鱼攻击,而且随着攻击目标的转移和扩大,不断有新的C2加入。目前被频繁使用的C2地址详见文末。
03
钓鱼资产多:钓鱼域名多、专门针对财税人员
微步情报局目前已监测到多个钓鱼资产,部分域名与网站主题如下:
04
载荷存放灵活:滥用公有云服务与第三方网站
与其他攻击团伙不同的是,该攻击团伙不仅使用自有资产来存放恶意载荷,还灵活使用了公有云服务、第三方网站来存放恶意文件与攻击载荷。下面展示了三种不同方式存放的不同恶意文件及哈希:
05
攻击预防与威胁处置
鉴于此攻击团伙正保持着异常活跃的攻击活动,还在频繁更新样本、上线新的资产与钓鱼域名。为更好地防范攻击,建议企业做好以下几点:
  1. 如果已部署微步产品(TIP、TDP、OneSEC、OneDNS、OneSandBox等),请及时更新情报,确保在第一时间获得对已有或新变种攻击的检测能力;
  2. 及时更新杀软特征库,以对威胁样本进行有效查杀。
  3. 该攻击团伙异常活跃,为有效对抗新的攻击方式,尽快补足并提高终端EDR检测能力
  4. 加强财务人员安全意识,不要随意点击社交软件、电子邮件中的不明来源文件或链接。对于已点击链接的员工,及时清理其电脑,并第一时间修改各类关键账号与密码。
越来越高频发生的黑灰产攻击正困扰着企业办公网安全,连同攻击链攻击、0day攻击,正成为突破办公网的三大主要威胁,在4月11日举行的CSOP大会·北京站,微步在线技术合伙人黄雅芳将以《供应链、0day、黑产带来的办公网安全挑战》为主题,分享她对办公网安全形势的洞察,深入剖析威胁根因,并给出提升办公网安全的创新解法。

附录:情报IOC(部分)
目前频繁使用的C2地址(部分):

154.91.84.175:15175

154.91.64.52:11585

154.205.7.68:15402

134.122.184.88:13489

154.91.64.110:17386

154.91.65.239:13592

134.122.184.88:13489

154.91.65.98:16598

154.39.238.20:13820

156.253.14.119:12706

143.92.34.235:19243

206.238.115.231:10532

206.238.198.218:19027

118.107.41.5:10741

143.92.34.235:19243

154.91.65.147:16547

目前传播较多的样本Hash(部分):

aadfc8dcdb6d3c05c8109b9fca7ce548
e2a3695183a53cf01c5fee5dd13afb45
bae8d64ddb69f4b7a14871c598f41bac
bfc6a152e1ce55cb3f547f52c3bdf2fc
57397ad9889d2009e87456ef4154bf4d
e2653142160ea22eaa31961f452b8336
0162ec0da9b029460e325b7b68d8cf31
17cbbe3538c7893abc430551fdd9a84e
417e93be148d5941eee4452dac5988b9
扫描下方二维码(或点击文末阅读原文)报名 CSOP 2024 · 北京站,与大咖现场交流AI实践、攻防实战、高效运营等话题。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com