1
概述
今年9月份開始, 東巽科技的鐵穹高級持續性威脅預警系統監測到多例同類木馬的攻擊事件, 2046Lab團隊利用東巽TIP威脅情報平臺展開追溯分析, 發現木馬回連的C2伺服器(也稱C&C, 指木馬的控制和命令伺服器)mail*****ting.gdn依然在持續接收竊取的資料, 且在持續跟蹤過程中意外發現頗具戲劇性的一幕:攻擊者在測試過程中給自己使用的PC終端植入了KeyBase木馬, 而該木馬的截屏功能意外記錄下了攻擊者實施攻擊的全過程以及與同夥之間的內部交流。
通過分析繳獲到的工具、截圖和殘餘資料, 2046Lab確定這是一起具有典型APT攻擊特點的金融欺詐類威脅事件,
偵查員負責利用搜尋引擎、LinkedIN等社交網路搜集潛在受害者資訊;
投遞員負責群發精心構造的釣魚郵件誘, 誘騙受害者點擊捆綁木馬的郵件附件;
欺詐者負責專門誘騙潛在的高價值受害者打開捆綁木馬的文件;
收割者負責分析木馬鍵盤記錄截獲的銀行帳號密碼。
本文將全面揭露該攻擊組織的真實身份、攻擊過程和攻擊意圖等TTPs資訊。
圖 C2中的攻擊者截屏內容
2
攻擊者
IP
地理位置
是否代理
105.112.*.*
奈及利亞 拉哥斯(Nigeria Lagos)
動態位址
154.120. *.*
奈及利亞 拉哥斯(Nigeria Lagos)
動態位址
174.127. *.*
美國
midphase.com的VPS
191.101. *.*
美國
SoftEther VPN
41.190. *.*
奈及利亞 拉哥斯(Nigeria Lagos)
動態位址
174.127. *.*
美國
midphase.com的VPS
197.210. *.*
奈及利亞 拉哥斯(Nigeria Lagos)
動態位址
197.210. *.*
奈及利亞 拉哥斯(Nigeria Lagos)
動態位址
197.210. *.*
奈及利亞 拉哥斯(Nigeria Lagos)
動態位址
197.210. *.*
奈及利亞 拉哥斯(Nigeria Lagos)
動態位址
表 攻擊者常用IP分析
其次, 查看攻擊者郵箱登陸位置、google搜索預設區域,
圖 攻擊者frank***@yahoo.com郵箱的登陸位置
圖 攻擊者默認google搜尋引擎為Nigeria(奈及利亞)
再者, 通過對截圖資料和攻擊者郵箱中殘留內容分析, 團隊還發現了部分攻擊者之間的交流記錄, 根據交流記錄推測出攻擊組織至少有5名成員。
結合Facebook的關聯搜索, 團隊溯源找出了這幾名攻擊者的Facebook身份, 發現成員Facebook上的位置仍然是奈及利亞區域。
圖 攻擊者之間使用facebook和teamviewer進行交流
圖 成員之一Daniel Briggs的facebook主頁
Facebook名稱
使用設備
地理位置
角色
Daniel Briggs
USER
MININT-07FG89M
奈及利亞 哈科特港
搜集情報,發送釣魚郵件
Emmanuel Omonode
未知
奈及利亞 哈科特港
控制受害者,挖掘資訊
Becky Richies
AQUARIUS
奈及利亞拉哥斯
木馬測試
Briggs Soibibo
未知
奈及利亞 哈科特港
推測外聯,協助木馬免殺
Oluwa Carti
DHEVID_POPO
奈及利亞拉哥斯
發送釣魚郵件、社工欺詐
表 攻擊組織成員匯總
這些線索相互印證,2046Lab團隊最終判斷攻擊組織成員多位於奈及利亞。
3
受害者
在繳獲的截圖資料中,2046Lab發現了攻擊者搜集潛在受害者資訊的過程,以及已經搜集到的包含潛在受害者郵箱的幾個文檔名稱、時間、大小。團隊依據這些片段資訊,利用搜尋引擎從互聯網上找到了部分原版文檔。
圖 攻擊者搜集到的包含受害者郵箱的文檔清單
對上述部分原版文檔進行統計分析後發現,潛在受害者(收到釣魚郵件,未確定攻擊成功與否)數量巨大,超過1.8萬郵箱帳號,涉及140餘個國家。
從區域來看,暫未發現有明顯的地區傾向,但涉及中國的郵箱占比較高;
從行業來看,受害者多屬於製造業,共同的特點是都與外貿供需有關,推測是因為供需暴露了郵箱資訊。統計結果如下表:
檔
檔內容
資料
(中國)
資料
(總量)
行業 (GB/T 4754-2017 國民經濟行業分類)
111屆廣交會鞋帽採購商名錄.xls
鞋帽採購商的姓名、郵箱、聯繫方式等資訊
2380
6982
製造業/紡織業
廣交會照明類採購商資訊3068個.xls
照明類採購商的姓名、郵箱、聯繫方式等資訊
499
3066
製造業/通用製造業
listofmills.xls
一種木質複合材料的供應商資訊,包含公司、連絡人郵箱、電話等資訊
720
1212
製造業/木材加工也
doc44.xls
迪拜地區一些批發零售供應商資訊,包含公司、郵箱、聯繫方式等
46
2021
批發零售業/批發
13.xls
五金類如鎖具供應商資訊,包含公司、連絡人、郵箱、電話等資訊
1808
5401
製造業/通用製造業
合計
5453
18682
此外,團隊還發現攻擊者利用google搜索在石油進出口相關的“@sina.com”郵箱,意圖搜集石油進出口相關華人的郵箱。因此,團隊判斷在一定的時期內,攻擊者對攻擊目標的行業和地域會有一定的傾向性。
圖 攻擊者通過google搜索科威特(國際區號965)石油進出口公司包含sina郵箱的文檔
4
攻擊手段
對攻擊者之間的關係分析,2046Lab發現該組織分工非常明確,不同人員實施不同階段的戰術攻擊。而根據截圖、代碼、文件和攻擊者寄件匣中的郵件內容分析來看,該攻擊組織的戰術可分為偽裝隱藏、情報搜集、釣魚攻擊、社交欺詐、植入木馬幾個階段。
4.1
偽裝隱藏
圖 USER設備使用的VPN相關用戶端
圖 USER設備正使用SoftEther VPN
4.2
情報搜集
如上述受害者分析,攻擊者一方面會使用google搜尋引擎的方式來搜集潛在受害者的郵箱,另一方面會通過LinkedIN的應聘資訊來篩選潛在受害者。
2046Lab推測第一種是為了廣撒網發釣魚郵件,第二種是為了針對性選擇高價值目標來實施社交欺詐攻擊。如下圖所示:
圖 攻擊者通過google搜索英國(國際區號+44)所有進出口公司包含sina郵箱的文檔
圖 攻擊者利用LinkedIN搜集應聘者人留下的電話和郵箱
4.3
釣魚郵件
搜集到受害者郵箱後,攻擊者會向這些受害者批量發送精心準備釣魚郵件。
圖 攻擊者將搜集的郵箱導入為郵寄清單待批量發送釣魚郵件
圖 攻擊者批量發送釣魚郵件
攻擊者發送的釣魚郵件內容迥異,總結起來可以分為邀請函、銀行回執、大型交易等幾類模版。
圖 攻擊者在製作釣魚郵件模版
圖 偽裝為VIP邀請函的釣魚郵件
圖 攻擊者在製作銀行回復的釣魚郵件
圖 冒充西聯,發送帶有木馬的郵件
圖 冒充奈及利亞海軍人員
這些釣魚郵件誘騙受害者回復郵件或者打開郵件中暗藏木馬的附件,受害者一旦被木馬非法控制,木馬將即時竊取受害者的帳號、密碼、鍵盤記錄、粘貼板內容和螢幕截圖。
4.4
社交欺詐
在持續跟蹤過程中,2046Lab發現攻擊者對高價值的受害者也會繞過釣魚郵件攻擊步驟,直接通過社會工程學攻擊的方式實施社交欺詐,如偽裝成企業回復應聘者、偽裝成俊男靚女欺騙異性,引誘受害者執行暗藏木馬的檔或套取個人資訊。
圖 攻擊者偽裝成雇主聯繫應聘者
圖 攻擊者偽裝成女性在google voice實施社交欺詐
圖 攻擊者的社交欺詐劇本
圖 攻擊者偽裝成男性在hi5和mingle2交友網站註冊進行社交欺詐
4.5
木馬控制
團隊在截圖中發現該攻擊組織使用了HawkEye和DarkComent RAT、keybase三個遠端控制和鍵盤記錄駭客工具;在C2伺服器的後臺代碼中,又發現其存有ABStealer鍵盤記錄工具。綜合來看,該攻擊組織綜合使用了至少4種駭客工具。
在資料分析期間,2046Lab發現攻擊組織幾乎每隔一天就會更新一次伺服器上的木馬檔,以保持木馬不被殺毒軟體檢測,如下圖。
圖 C2網站目錄下的木馬
駭客使用的工具截圖
描述
該攻擊組織用途
Keybase,鍵盤記錄器,會記錄email/ftp/web等帳號密碼、鍵盤操作以及螢幕截圖。
該組織部署了多個keybase接收端,但記錄到的資料多是該組織成員的自己的資料和截圖(本次溯源分析資料多數源於這些殘留資料),少有受害者的資料。
DarkComet RAT,遠端控制軟體,會記錄鍵盤操作,帳號密碼,遠端開啟攝像頭、遠端存取檔、控制電腦操作等。
在郵件附件和網站目錄下均發現了該工具的樣本,推測攻擊組織主要使用該工具操作受害者螢幕和訪問檔。
HawkEye,鍵盤記錄器,記錄鍵盤操作、螢幕截圖、web登陸等資訊。
在郵件附件中發現該工具樣本,攻擊者使用該工具獲取受害者的密碼、剪貼板資訊和截圖等內容。
ABStealer,鍵盤記錄器,僅有簡單的密碼記錄功能。
C2的代碼中發現了該工具檔,並且已經配置好,推測攻擊者進行了測試,但效果不好沒有使用。
表 駭客使用工具匯總
以下給出捆綁了HawkEye木馬的一個樣本RFQ-2475.doc的分析過程,該樣本利用巨集病毒來釋放並安裝木馬。
01
提取VB代碼:使用oledump.py提取doc中的vb代碼,從下圖可以看出A3是存在宏,於是匯出A3得到VB代碼。
圖 提取文檔中的宏
02
分析VB代碼:發現VB經過混淆,木馬是和word綁在一起的,下圖中的Shell(vbHH, 1)是關鍵,截取後的pe檔存到了vbHH中,而vbHH實際是一個指向木馬的路徑“%ALLUSERSPROFILE%Memsysms.exe”。其中,ms.exe是一個HawkEye的執行端,執行後會經過加啟動項、改註冊表、加鍵盤鉤子等操作。
03
流量分析:當使用者點擊文檔啟用宏後,木馬會在後臺運行一段時間,然後主動連接伺服器傳輸竊取的資料,如下圖。本例中的HawkEye木馬會將竊取的密碼、鍵盤記錄等資訊通過ftp的方式上傳到ftp.mail***.gdn伺服器上,與本次發現的C2是同一個功能變數名稱。
圖 實驗環境下HawkEye木馬通過ftp傳輸受害者存儲的密碼
從繳獲的截圖資料中也包含攻擊者使用FTP下載這些竊取資料的證據,如下圖所示。
圖 攻擊者從ftp下載Hawkeye木馬竊取資料
5
攻擊意圖
綜合上述攻擊者戰術分析和受害者分析,2046推測出攻擊者利用社交欺詐和釣魚郵件相結合的方式實施攻擊,期望獲取受害者的線上支付等金融類帳號密碼或者遠端控制受害者電腦,最終目的是獲取受害者銀行卡帳號和密碼,然後轉移財物,這個推測在攻擊者郵箱的郵件內容中得到了證實。
如下圖所示,一名攻擊者在催同夥把受害者銀行帳號的詳細資訊發給他。
圖 攻擊者之間傳遞受害者帳號和密碼
圖 攻擊者之間傳遞受害者銀行帳號和密碼
根據上述郵件內容我們推測,攻擊者組織中可能還存在專門負責轉移受害者資金財物的洗劫人員。
6
總結
本次的威脅攻擊事件屬於典型的結合了APT攻擊手段的金融欺詐類威脅事件,受害者多為涉及外貿的企業工作人員,涉及140餘個國家。
攻擊者來自奈及利亞,採用了目標情報搜集、偽裝隱藏、發送釣魚郵件、長期控制、社交欺詐、竊取銀行帳號等一系列的攻擊手段。
關鍵項
本次攻擊事件情況說明
主要攻擊目標
外貿相關的供需企業,一定時期內會有行業側重,多數屬於廣撒網
目標國家
世界各國,中國占比較多
關鍵作用點
Email和社交網路
攻擊手法
目標情報收集->社交欺詐+Email釣魚->木馬控制->獲取帳號
攻擊目的
金融欺詐,竊取受害者銀行帳號等密碼
漏洞使用情況
暫未發現
工具使用情況
HawkEye、DarkCometRAT、Keybase、ABStealer遠控和鍵盤記錄工具
免殺技術
一般,木馬免殺期不長
活躍程度
活躍
反追蹤能力
強,使用VPN和vps設備隱藏自己,還申請多個假的郵箱、Facebook
攻擊源
奈及利亞
表 TTPs(Tactics、Techniques & Procedures)總結
本次跟蹤溯源是一次全面、徹底的跟蹤溯源活動。團隊從發現到持續跟蹤和分析耗時近3個月時間,不僅掌握了攻擊者的各種攻擊手段、工具、流程,還成功溯源出該攻擊組織多個成員的Facebook帳號和資訊,並最終證實了攻擊者的意圖。
通過本次溯源,團隊有兩點發現:
1
欺詐不分國界、不分種族,預測結合APT攻擊手段的網路欺詐將越來越多。和陌生人聊天時建議不要洩露過多的個人資訊,更不要輕易點擊對方發來的任何檔,保護好自己的隱私、保護好自己的錢包。
2
郵件釣魚依然是攻擊者最喜歡的手段。打開陌生人郵件附件時要格外小心,在管理手段之外建議企業採用專業技術手段來即時保障,比如部署東巽鐵穹、明鏡一類的安全產品,及時發現郵件中的惡意檔和已被植入木馬的電腦。
注
東巽威脅情報中心,是東巽科技在威脅情報領域的一款平臺級產品。產品基於雲計算、安全大資料思想構建,可以部署在互聯網上或用戶私有雲上,為用戶提供便利的全球威脅情報查詢及威脅深度分析等雲安全服務。其中的全球C2的存活狀態的監控子平臺,用於監控C2的存活情況和分析攻擊者的活躍程度,為用戶提供威脅情報,訪問位址https://ti.dongxuntech.com/c2.html。
鐵穹高級持續性威脅預警系統,是東巽科技自主研發的針對網路流量進行深度分析、實現APT攻擊預警的軟硬體一體化產品。旁路部署在網路邊界,針對網路流量進行深度分析,實現APT攻擊預警的軟硬體一體化產品。旁路部署在網路邊界,通過對流量中的各類惡意程式碼及攻擊行為,檔、郵件、網頁等攻擊載體進行全面採集,結合新一代虛擬執行分析、流量行為分析、全球威脅情報、大資料和機器學習等安全技術,即時發現各類已知威脅,深度挖掘APT攻擊中的ODAY/NDAY漏洞攻擊、特種木馬等未知威脅,幫助金融、能源、電力、涉密、軍隊、科研、政府等行業用戶及時發現傳統IDS/IPS等無法檢測的高級攻擊手段,保障核心資訊資產/運營系統的安全。
明鏡木馬深度檢測系統,是東巽科技自主研發的新一代終端檢測和回應(EDR)系統。產品進行全面的終端資料獲取,結合明鏡智慧分析平臺的大資料分析、全球威脅情報、木馬行為模式分析等新一代終端安全技術,説明使用者有效發現和處置各類隱藏在終端上、逃避傳統殺毒軟體查殺的木馬和間諜軟體等高級惡意軟體,説明使用者切斷APT攻擊中的終端惡意程式碼活動。
2046Lab,東巽科技的安全研究實驗室,主要從事樣本研究、異常流量研究、Web攻防研究、C2跟蹤、機器學習等網路安全方面的研究,已申請多個相關專利。
圖 成員之一Daniel Briggs的facebook主頁
Facebook名稱
使用設備
地理位置
角色
Daniel Briggs
USER
MININT-07FG89M
奈及利亞 哈科特港
搜集情報,發送釣魚郵件
Emmanuel Omonode
未知
奈及利亞 哈科特港
控制受害者,挖掘資訊
Becky Richies
AQUARIUS
奈及利亞拉哥斯
木馬測試
Briggs Soibibo
未知
奈及利亞 哈科特港
推測外聯,協助木馬免殺
Oluwa Carti
DHEVID_POPO
奈及利亞拉哥斯
發送釣魚郵件、社工欺詐
表 攻擊組織成員匯總
這些線索相互印證,2046Lab團隊最終判斷攻擊組織成員多位於奈及利亞。
3
受害者
在繳獲的截圖資料中,2046Lab發現了攻擊者搜集潛在受害者資訊的過程,以及已經搜集到的包含潛在受害者郵箱的幾個文檔名稱、時間、大小。團隊依據這些片段資訊,利用搜尋引擎從互聯網上找到了部分原版文檔。
圖 攻擊者搜集到的包含受害者郵箱的文檔清單
對上述部分原版文檔進行統計分析後發現,潛在受害者(收到釣魚郵件,未確定攻擊成功與否)數量巨大,超過1.8萬郵箱帳號,涉及140餘個國家。
從區域來看,暫未發現有明顯的地區傾向,但涉及中國的郵箱占比較高;
從行業來看,受害者多屬於製造業,共同的特點是都與外貿供需有關,推測是因為供需暴露了郵箱資訊。統計結果如下表:
檔
檔內容
資料
(中國)
資料
(總量)
行業 (GB/T 4754-2017 國民經濟行業分類)
111屆廣交會鞋帽採購商名錄.xls
鞋帽採購商的姓名、郵箱、聯繫方式等資訊
2380
6982
製造業/紡織業
廣交會照明類採購商資訊3068個.xls
照明類採購商的姓名、郵箱、聯繫方式等資訊
499
3066
製造業/通用製造業
listofmills.xls
一種木質複合材料的供應商資訊,包含公司、連絡人郵箱、電話等資訊
720
1212
製造業/木材加工也
doc44.xls
迪拜地區一些批發零售供應商資訊,包含公司、郵箱、聯繫方式等
46
2021
批發零售業/批發
13.xls
五金類如鎖具供應商資訊,包含公司、連絡人、郵箱、電話等資訊
1808
5401
製造業/通用製造業
合計
5453
18682
此外,團隊還發現攻擊者利用google搜索在石油進出口相關的“@sina.com”郵箱,意圖搜集石油進出口相關華人的郵箱。因此,團隊判斷在一定的時期內,攻擊者對攻擊目標的行業和地域會有一定的傾向性。
圖 攻擊者通過google搜索科威特(國際區號965)石油進出口公司包含sina郵箱的文檔
4
攻擊手段
對攻擊者之間的關係分析,2046Lab發現該組織分工非常明確,不同人員實施不同階段的戰術攻擊。而根據截圖、代碼、文件和攻擊者寄件匣中的郵件內容分析來看,該攻擊組織的戰術可分為偽裝隱藏、情報搜集、釣魚攻擊、社交欺詐、植入木馬幾個階段。
4.1
偽裝隱藏
圖 USER設備使用的VPN相關用戶端
圖 USER設備正使用SoftEther VPN
4.2
情報搜集
如上述受害者分析,攻擊者一方面會使用google搜尋引擎的方式來搜集潛在受害者的郵箱,另一方面會通過LinkedIN的應聘資訊來篩選潛在受害者。
2046Lab推測第一種是為了廣撒網發釣魚郵件,第二種是為了針對性選擇高價值目標來實施社交欺詐攻擊。如下圖所示:
圖 攻擊者通過google搜索英國(國際區號+44)所有進出口公司包含sina郵箱的文檔
圖 攻擊者利用LinkedIN搜集應聘者人留下的電話和郵箱
4.3
釣魚郵件
搜集到受害者郵箱後,攻擊者會向這些受害者批量發送精心準備釣魚郵件。
圖 攻擊者將搜集的郵箱導入為郵寄清單待批量發送釣魚郵件
圖 攻擊者批量發送釣魚郵件
攻擊者發送的釣魚郵件內容迥異,總結起來可以分為邀請函、銀行回執、大型交易等幾類模版。
圖 攻擊者在製作釣魚郵件模版
圖 偽裝為VIP邀請函的釣魚郵件
圖 攻擊者在製作銀行回復的釣魚郵件
圖 冒充西聯,發送帶有木馬的郵件
圖 冒充奈及利亞海軍人員
這些釣魚郵件誘騙受害者回復郵件或者打開郵件中暗藏木馬的附件,受害者一旦被木馬非法控制,木馬將即時竊取受害者的帳號、密碼、鍵盤記錄、粘貼板內容和螢幕截圖。
4.4
社交欺詐
在持續跟蹤過程中,2046Lab發現攻擊者對高價值的受害者也會繞過釣魚郵件攻擊步驟,直接通過社會工程學攻擊的方式實施社交欺詐,如偽裝成企業回復應聘者、偽裝成俊男靚女欺騙異性,引誘受害者執行暗藏木馬的檔或套取個人資訊。
圖 攻擊者偽裝成雇主聯繫應聘者
圖 攻擊者偽裝成女性在google voice實施社交欺詐
圖 攻擊者的社交欺詐劇本
圖 攻擊者偽裝成男性在hi5和mingle2交友網站註冊進行社交欺詐
4.5
木馬控制
團隊在截圖中發現該攻擊組織使用了HawkEye和DarkComent RAT、keybase三個遠端控制和鍵盤記錄駭客工具;在C2伺服器的後臺代碼中,又發現其存有ABStealer鍵盤記錄工具。綜合來看,該攻擊組織綜合使用了至少4種駭客工具。
在資料分析期間,2046Lab發現攻擊組織幾乎每隔一天就會更新一次伺服器上的木馬檔,以保持木馬不被殺毒軟體檢測,如下圖。
圖 C2網站目錄下的木馬
駭客使用的工具截圖
描述
該攻擊組織用途
Keybase,鍵盤記錄器,會記錄email/ftp/web等帳號密碼、鍵盤操作以及螢幕截圖。
該組織部署了多個keybase接收端,但記錄到的資料多是該組織成員的自己的資料和截圖(本次溯源分析資料多數源於這些殘留資料),少有受害者的資料。
DarkComet RAT,遠端控制軟體,會記錄鍵盤操作,帳號密碼,遠端開啟攝像頭、遠端存取檔、控制電腦操作等。
在郵件附件和網站目錄下均發現了該工具的樣本,推測攻擊組織主要使用該工具操作受害者螢幕和訪問檔。
HawkEye,鍵盤記錄器,記錄鍵盤操作、螢幕截圖、web登陸等資訊。
在郵件附件中發現該工具樣本,攻擊者使用該工具獲取受害者的密碼、剪貼板資訊和截圖等內容。
ABStealer,鍵盤記錄器,僅有簡單的密碼記錄功能。
C2的代碼中發現了該工具檔,並且已經配置好,推測攻擊者進行了測試,但效果不好沒有使用。
表 駭客使用工具匯總
以下給出捆綁了HawkEye木馬的一個樣本RFQ-2475.doc的分析過程,該樣本利用巨集病毒來釋放並安裝木馬。
01
提取VB代碼:使用oledump.py提取doc中的vb代碼,從下圖可以看出A3是存在宏,於是匯出A3得到VB代碼。
圖 提取文檔中的宏
02
分析VB代碼:發現VB經過混淆,木馬是和word綁在一起的,下圖中的Shell(vbHH, 1)是關鍵,截取後的pe檔存到了vbHH中,而vbHH實際是一個指向木馬的路徑“%ALLUSERSPROFILE%Memsysms.exe”。其中,ms.exe是一個HawkEye的執行端,執行後會經過加啟動項、改註冊表、加鍵盤鉤子等操作。
03
流量分析:當使用者點擊文檔啟用宏後,木馬會在後臺運行一段時間,然後主動連接伺服器傳輸竊取的資料,如下圖。本例中的HawkEye木馬會將竊取的密碼、鍵盤記錄等資訊通過ftp的方式上傳到ftp.mail***.gdn伺服器上,與本次發現的C2是同一個功能變數名稱。
圖 實驗環境下HawkEye木馬通過ftp傳輸受害者存儲的密碼
從繳獲的截圖資料中也包含攻擊者使用FTP下載這些竊取資料的證據,如下圖所示。
圖 攻擊者從ftp下載Hawkeye木馬竊取資料
5
攻擊意圖
綜合上述攻擊者戰術分析和受害者分析,2046推測出攻擊者利用社交欺詐和釣魚郵件相結合的方式實施攻擊,期望獲取受害者的線上支付等金融類帳號密碼或者遠端控制受害者電腦,最終目的是獲取受害者銀行卡帳號和密碼,然後轉移財物,這個推測在攻擊者郵箱的郵件內容中得到了證實。
如下圖所示,一名攻擊者在催同夥把受害者銀行帳號的詳細資訊發給他。
圖 攻擊者之間傳遞受害者帳號和密碼
圖 攻擊者之間傳遞受害者銀行帳號和密碼
根據上述郵件內容我們推測,攻擊者組織中可能還存在專門負責轉移受害者資金財物的洗劫人員。
6
總結
本次的威脅攻擊事件屬於典型的結合了APT攻擊手段的金融欺詐類威脅事件,受害者多為涉及外貿的企業工作人員,涉及140餘個國家。
攻擊者來自奈及利亞,採用了目標情報搜集、偽裝隱藏、發送釣魚郵件、長期控制、社交欺詐、竊取銀行帳號等一系列的攻擊手段。
關鍵項
本次攻擊事件情況說明
主要攻擊目標
外貿相關的供需企業,一定時期內會有行業側重,多數屬於廣撒網
目標國家
世界各國,中國占比較多
關鍵作用點
Email和社交網路
攻擊手法
目標情報收集->社交欺詐+Email釣魚->木馬控制->獲取帳號
攻擊目的
金融欺詐,竊取受害者銀行帳號等密碼
漏洞使用情況
暫未發現
工具使用情況
HawkEye、DarkCometRAT、Keybase、ABStealer遠控和鍵盤記錄工具
免殺技術
一般,木馬免殺期不長
活躍程度
活躍
反追蹤能力
強,使用VPN和vps設備隱藏自己,還申請多個假的郵箱、Facebook
攻擊源
奈及利亞
表 TTPs(Tactics、Techniques & Procedures)總結
本次跟蹤溯源是一次全面、徹底的跟蹤溯源活動。團隊從發現到持續跟蹤和分析耗時近3個月時間,不僅掌握了攻擊者的各種攻擊手段、工具、流程,還成功溯源出該攻擊組織多個成員的Facebook帳號和資訊,並最終證實了攻擊者的意圖。
通過本次溯源,團隊有兩點發現:
1
欺詐不分國界、不分種族,預測結合APT攻擊手段的網路欺詐將越來越多。和陌生人聊天時建議不要洩露過多的個人資訊,更不要輕易點擊對方發來的任何檔,保護好自己的隱私、保護好自己的錢包。
2
郵件釣魚依然是攻擊者最喜歡的手段。打開陌生人郵件附件時要格外小心,在管理手段之外建議企業採用專業技術手段來即時保障,比如部署東巽鐵穹、明鏡一類的安全產品,及時發現郵件中的惡意檔和已被植入木馬的電腦。
注
東巽威脅情報中心,是東巽科技在威脅情報領域的一款平臺級產品。產品基於雲計算、安全大資料思想構建,可以部署在互聯網上或用戶私有雲上,為用戶提供便利的全球威脅情報查詢及威脅深度分析等雲安全服務。其中的全球C2的存活狀態的監控子平臺,用於監控C2的存活情況和分析攻擊者的活躍程度,為用戶提供威脅情報,訪問位址https://ti.dongxuntech.com/c2.html。
鐵穹高級持續性威脅預警系統,是東巽科技自主研發的針對網路流量進行深度分析、實現APT攻擊預警的軟硬體一體化產品。旁路部署在網路邊界,針對網路流量進行深度分析,實現APT攻擊預警的軟硬體一體化產品。旁路部署在網路邊界,通過對流量中的各類惡意程式碼及攻擊行為,檔、郵件、網頁等攻擊載體進行全面採集,結合新一代虛擬執行分析、流量行為分析、全球威脅情報、大資料和機器學習等安全技術,即時發現各類已知威脅,深度挖掘APT攻擊中的ODAY/NDAY漏洞攻擊、特種木馬等未知威脅,幫助金融、能源、電力、涉密、軍隊、科研、政府等行業用戶及時發現傳統IDS/IPS等無法檢測的高級攻擊手段,保障核心資訊資產/運營系統的安全。
明鏡木馬深度檢測系統,是東巽科技自主研發的新一代終端檢測和回應(EDR)系統。產品進行全面的終端資料獲取,結合明鏡智慧分析平臺的大資料分析、全球威脅情報、木馬行為模式分析等新一代終端安全技術,説明使用者有效發現和處置各類隱藏在終端上、逃避傳統殺毒軟體查殺的木馬和間諜軟體等高級惡意軟體,説明使用者切斷APT攻擊中的終端惡意程式碼活動。
2046Lab,東巽科技的安全研究實驗室,主要從事樣本研究、異常流量研究、Web攻防研究、C2跟蹤、機器學習等網路安全方面的研究,已申請多個相關專利。