标签: 网络钓鱼邮件

多阶段 APT 攻击使用 C2 功能降低 Cobalt Strike

6月10日,我们发现了一个伪装成简历的恶意Word文档,它使用模板注入来删除一个Net Loader。这是我们认为是APT攻击的一个部分,在最后阶段,威胁者使用Cobalt Strike的C2特性下载最终的有效载荷并执行C2通信。 这次袭击因为它的躲避技巧显得特别聪明。如我们观察到在执行来自恶意Word宏的有效负载时存在故意延迟。此外,通过将shell代码隐藏在一个无害的 JavaScript中并在不触及磁盘的情况下加载它,APT可以进一步阻止安全检测。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1248/     消息来源:malwarebyte,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Agent Tesla 商业木马正通过钓鱼邮件传播,木马生成器已十分成熟

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/1aQGlBxBwBOrdrW3B9l4tA   背景 腾讯安全威胁情报中心检测到有Agent Tesla商业木马变种正在通过钓鱼邮件传播。攻击者伪装成某国大型航运公司发送以货运单据为主题的钓鱼邮件,并在附件中加入由木马打包而成的压缩程序。 使用C#编译的木马外壳首先从资源文件中读取和加载Load程序PhotoDirector.dll,攻击者采用隐写技术,将木马执行程序隐藏在图片资源中,从图片资源中读取、解密得到Agent Tesla木马的exe可执行程序。 Agent Tesla为一款知名的商业窃密木马,木马执行后,会从资源中解密出现核心窃密程序,窃取中毒电脑的机密信息。包括:键盘记录,截屏,剪贴板记录,以及摄像头图像。还会从电脑上提取还原多种登录信息缓存,包括浏览器中保存的各网站登录帐号和密码,邮件客户端中保存的用户名密码,FTP工具、下载器中保存的密码等等。 窃取的数据通过Web Panel的方式回传至C&C服务器。一切完成之后,该木马会删除自身,清理痕迹。 腾讯安全专家建议用户小心处理不明电子邮件附件,腾讯安全旗下的系列产品均可检测、查杀Agent Tesla系列窃密木马。 样本分析 伪装成某国航运公司发送的以货运单据为主题的钓鱼邮件,附件名为“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.zip”。 伪造的发件邮箱tassgroup.com属于TRANS ASIA GROUP公司,该公司是南亚某国一家集造船、航运、集装箱、物流等业务为一体的集团公司。 附件解压得到exe程序“BL Draft Copy-shipping DocumentsEXCEL.XLS.xlsx.gz.exe”,是木马外壳程序,采样C#编写。 外壳程序被命名为BlackJack。 Main函数进入Form1,完成初始化后调用BCAS类中BCAS()函数,代码被插入大量无效指令。 在无效指令之后调用AIJISAJIS(),进行资源文件的解密和加载。 BlackJack共有两个资源文件,一个是二进制文件资源“PhotoDirector_2”,另一个是图片文件资源“cxpjNoVVdqvwNYmThlfPxwKQGrxcLPY”。 首先将二进制文件作为PhotoDirector.dll加载到内存,该dll采样C#编写,主要功能是从母体的中获得图片资源,从图片中解密出数据,利用自定义的异或算法处理数据后得到Agent Tesla家族的exe文件,并在内存中加载执行。 获取图片中数据的代码为:首先遍历图片中的每个像素点,对每个像素点的RGB数据依次排列。 然后对读取到的数据利用自定义异或算法进行解密。 解密得到Agent Tesla木马ReZer0V2.exe,木马同样采样C#编写,其字符串经过混淆,仍然有两个资源文件,一个二进制文件“qfwH1”,一个XML文件XML。 拷贝自身到%Romaing%\XLwdDWHDKFdwB.exe目录下,并利用资源中的XML文件安装执行木马的计划任务Updates\XLwdDWHDKFdwB,在系统每次登陆时执行一次: 从“qfwH1”资源中解密出C++编译的核心窃密exe文件,解密算法和上述异或算法相同,然后加载该exe到内存执行。 窃密exe枚举注册表SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall获取系统安装的软件信息: 从注册表中读取FTP服务地址、用户名和密码信息: Software\Far\Plugins\FTP\Hosts Software\Far2\Plugins\FTP\Hosts Software\Far Manager\Plugins\FTP\Hosts Software\Far\SavedDialogHistory\FTPHost Software\Far2\SavedDialogHistory\FTPHost Software\Far Manager\SavedDialogHistory\FTPHost 从XML文件sitemanager.xml、filezilla.xml、recentservers.xml中获取FTP服务地址、用户名和密码信息 读取wiseftpsrvs.ini、wiseftp.ini、32BitFtp.ini、ftpsite.ini等INI文件中保存的FTP账号密码信息 从注册表中获取ExpanDrive网盘的账号密码信息: 获取Windows Live Mail、Outlook、RimArts、Pocomail、IncrediMail 、The Bat!等邮箱客户端保存的账号密码信息: 从Chrome等浏览器中获取用户账号密码信息: 将敏感信息加密后发送至http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php 窃取任务完成后,创建bat脚本执行自删除: 木马生成器 1、工具简介 攻击者生成木马时使用的自动化工具名为AgentTesla,是一个功能比较完整的恶意木马生成器,生成器作者已经开始通过出售工具帐号牟利。 2、使用.NET作为开发语言 .NET语言开发的程序中包含经过编译的字节码,在.NET环境中进行解释和执行,这就给样本的调试和分析带来了一定的困难。同时,.NET库中拥有丰富的工具类,在迅速搭建可用的程序方面具有一定的优势。 3、支持多类信息窃取行为 工具可以自定义生成的木马窃取的信息,包括键盘记录,截屏,剪贴板记录,以及摄像头图像。工具使用者还可以自定义记录的抓取间隔时间。 同时,工具还可以从电脑上提取还原多种登录信息缓存,包括浏览器中保存的网站帐号密码,邮件客户端中保存的密码,FTP工具、下载器中保存的密码等。 4、支持多种回传方式 工具可以自定义木马将窃取到的信息回传给木马传播者的方式,包括网络接口方式、邮件方式以及FTP方式。 在FTP方式下,工具使用者可以指定上传信息时用到的ftp地址、用户名和密码。 在邮件方式下,工具使用者可以指定邮箱服务器地址、用户名和密码。 如果使用者采用网络接口方式,则需要从工具官网下载一套完整的管理页面,并部署在自己的网站上。本次攻击中采用这种方式,使用者将chelitos.com.ve作为C&C服务器,生成的木马运行后会连接该服务器并接收相应的指令。 5、木马与服务器之间传递的指令包括: IOCs MD5 a2bf53ed2269b816d8c28e469e8c2603 adfd08c1928106a23c6ef0464885dfb9 URL http[:]//chelitos.com.ve/folders/folder/bin/trash/panel/gate.php http[:]//chelitos.com.ve/shit.exe 参考链接: https://www.freebuf.com/column/149525.html

Valak 恶意软件与 Gozi ConfCrew 的千丝万缕联系

Valak是使用基于脚本的多阶段恶意软件,该软件劫持电子邮件并嵌入恶意URL附件,以使用无文件脚本来感染设备。 相关摘要 Valak使用了基于脚本的恶意软件,这些恶意软件在广告活动中使用,其与Gozi ConfCrew相关联。 重复的攻击活动导致一些报道将Valak误认为是Gozi。 电子邮件被收集起来并运用在“回复链攻击”中,以专门构建插件“ exchgrabber”来进一步传播。 新发现的名为“ clientgrabber”的插件还用于从注册表中窃取电子邮件凭据。 有关Varak详情请见报告:https://assets.sentinelone.com/labs/sentinel-one-valak-i   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1246/     消息来源:sentinelone,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Gamaredon 威胁组织活动相关分析

研究人员发现,高度活跃的Gamaredon威胁组织在各种恶意活动中使用了未被记录的工具,其中一个是针对微软Outlook的VBA宏(使用电子邮件向受害者的Microsoft Office通讯簿中的联系人发送鱼叉式钓鱼邮件)。我们还进一步分析了Gamaredon工具,这些工具能够将恶意宏和远程模板注入到现有的Office文档中。 自2013年起Gamaredon组织开始活跃。CERT-UA和乌克兰其他官方机构的报告中证实了它曾对乌克兰机构发起了袭击。在过去的几个月里,这个群体的活动有所增加,不断有恶意邮件袭击他们目标的邮箱。这些电子邮件的附件是带有恶意宏的文档,在执行时会尝试下载多种不同的恶意软件变种。Gamaredon使用了许多不同的编程语言,从 c#到VBScript、批处理文件和c/c++。 Gamaredon使用的工具非常简单,旨在从受到威胁的系统中收集敏感信息并进一步传播。与其他APT组织不同的是,Gamaredon组织行为却非常高调。尽管他们的工具具有下载和执行更隐秘的任意二进制文件的能力,但该小组的主要重点却是在试图窃取数据的同时,在目标网络中尽可能快地传播。   … 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1245/     消息来源:welivesecurity,译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

海外中文新闻媒体遭针对性网络钓鱼攻击

加拿大多伦多大学公民实验室发表研究报告,称海外中文新闻媒体遭到针对性的钓鱼攻击。2017 年 2 月,中国数字时代的记者陆续收到一系列网络钓鱼邮件,发件人声称自己掌握一场针对明镜新闻网的黑客行动的内幕消息。 调查显示,邮件里的链接指向的实际上是一个看起来像是中国数字时代内容管理系统登录页面的虚假网页——一个试图盗取记者帐号信息以进入该系统发布内容的聪明手段。不过,该手段没有如愿以偿地落实。 获悉,这些邮件让中国数字时代工作人员产生怀疑,他们继而与公民实验室的研究人员分享了这些邮件以作进一步分析。对这些针对中国数字时代的网络钓鱼攻击牵连出一起更广泛的网络攻击行动。这起行动是又一个针对中国报道记者和新闻机构的网络间谍活动。 稿源:solidot,封面源自网络

Gmail 将利用 AI 技术解决人为因素造成的被钓鱼问题

据外媒报道,谷歌打算使用机器学习技术来应对人类较难分辨的网络攻击问题。在面对钓鱼网络攻击的时候,很多用户经常都对其“置之不理”,当然不是有意为之而是没有看出来,为此,谷歌决定要改变这种现象。据了解,Gmail 每天有 10 亿名活跃用户,而谷歌的其中一项工作就是保护他们的邮件免遭网络攻击。 据谷歌统计,Gmail 收件箱中有 50%-70% 的信息都是垃圾邮件,并且它们当中有相当一部分都是经过精心策划来混淆用户的。对此,Gmail希望通过机器学习技术来帮助用户避免人为因素造成的被钓鱼现象。当AI 检测系统发现可疑邮件进入收件箱,那么它将对邮件采取滞处理然后对其展开分析并以此来确定目标邮件是否为钓鱼邮件。 Gmail 网络滥用应对技术产品经理 Andy Wen 表示,他们所使用的新模式比人工系统更快适应而且还能随时间变得更好。谷歌表示,滞后处理的邮件占比大概不到总数的 0.05%,不过考虑到 Gmail 邮件基数的庞大,所以即便是这么小的比例影响到的用户仍非常庞大。 据了解,Gmail 自动恶意软件搜索系统将采用来自谷歌 Safe Browsing的机器学习技术,它会在发现可疑钓鱼邮件的时候向用户发出钓鱼警告以及跟前往网络攻击相关信息的链接。得益于发往 Gmail 邮箱的上百封垃圾邮件,谷歌建立起了这样一套能够快速识别出恶意软件和勒索软件信息并自动将其屏蔽的人工智能系统。 另外,Gmail 还面向企业级用户推出了一项功能,即在发送出含有工作敏感信息邮件的时候发出警告。不过企业可以选择关掉这项功能以及早期钓鱼检测功能。 稿源:cnBeta,封面源自网络

俄 ATP28 黑客组织针对罗马尼亚外交部展开网络钓鱼攻击

据国外安全媒体 Cyberscoop 报道,俄罗斯 ATP28 黑客组织伪造北约( NATO )电子邮件,针对包括罗马尼亚外交部在内的欧洲外交组织成员发动网络钓鱼攻击。 俄罗斯 ATP28 黑客组织(又名 Pawn Storm、Sednit、Sofacy、Fancy Bear 或 Tsar Team)曾涉嫌参与多起欧洲国家网络攻击事件,其中包括攻击欧洲防务展览会,干预法国、德国重大选举等。 据悉,罗马尼亚外交部成员收到的电子邮件包含一个名为“Trump’s_Attack_on_Syria_English.docx”的 Word 文档,利用近期披露的 2 个Microsoft Office 0day 漏洞 (CVE-2017-0262) 秘密下载恶意软件 “GameFish”,从而使黑客能够访问敏感数据并在受感染设备中远程部署其他计算机病毒。 研究人员表示,若系统再次检测到虚假 NATO 电子邮件,北约组织将向联盟国安全机构提供警报,以防止此类攻击再度蔓延。目前,罗马尼亚情报机构已发表声明证实此次钓鱼攻击事件,并指出由于各机构的有效配合,攻击已被成功阻止。 原作者:Gabriela Vatu,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Netrepser 网络间谍活动危及全球 500 余家政府机构

据外媒 6 日报道,Bitdefender 安全专家发现一起网络间谍活动,攻击者利用恶意软件 Netrepser 危及全球 500 余家政府机构。 Bitdefender 安全公司于去年 5 月首次发现 Netrepser 木马样本。安全专家在分析 C&C 服务器数据后证实恶意软件至少感染了 500 余台电脑,这些设备多属政府机构。除此之外尚无更多证据能证明其与其他威胁情报相关联。 据报道,Netrepser 木马允许攻击者在目标设备中收集系统信息、记录击键、窃取电子邮件以及 Web 浏览器的 cookie 和密码等。此外 攻击者还通过网络钓鱼电子邮件发送文档传播恶意软件,在文档中嵌入 JavaScript 或其编码文件以加载最终的 payload。 目前,Bitdefender 安全专家并未明确指出此次间谍活动背后的黑客组织,仅强调 Netrepser 木马所使用的部分文件路径包含西里尔字母。 原作者: Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接