疫情相關(guān)釣魚郵件增長近6倍

近幾個月以來，隨著新型冠狀病毒肺炎“COVID-19”在全球范圍內(nèi)快速蔓延，許多國家和地區(qū)的衛(wèi)生系統(tǒng)不堪重負(fù)。與此同時，攻擊者卻趁火打劫，利用釣魚郵件對政府、醫(yī)療等重要部門進(jìn)行攻擊。

通過近期監(jiān)測的數(shù)據(jù)，睿眼·郵件發(fā)現(xiàn)使用疫情作為釣魚郵件內(nèi)容的郵件大幅增長，其中“冒充WHO組織”、“詐騙捐款”、“疫情物資欺騙”、“疫情進(jìn)度(信息)欺騙”等最為常見。隨機截取多個睿眼·郵件的部分流量數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)疫情相關(guān)釣魚郵件占總釣魚郵件的比例為1月0%、2月0.0634%、3月0.4013%。相比二月，三月份疫情相關(guān)釣魚郵件增長近6倍。同時，攻擊者也愛追“熱點”，針對疫情的最新動向不斷更新釣魚話術(shù)，利用受害者恐懼、好奇等心理，增加釣魚攻擊的成功幾率。

在2月初國內(nèi)疫情較為嚴(yán)重的階段，攻擊者使用“中國冠狀病毒病例：查明您所在地區(qū)有多少”等中國疫情相關(guān)主題及內(nèi)容進(jìn)行郵件釣魚投放木馬。而到3月中旬意大利疫情迅速惡化階段，攻擊者轉(zhuǎn)為使用“COVID-19批準(zhǔn)的針對中國、意大利的補救措施”等國際熱點內(nèi)容進(jìn)行郵件釣魚投放木馬。

2月：利用中國疫情相關(guān)內(nèi)容發(fā)起攻擊

3月：利用國際熱點內(nèi)容發(fā)起攻擊

在進(jìn)行抽樣分析的過程中，中睿天下安全專家團(tuán)隊發(fā)現(xiàn)多起“SWEED”黑客組織發(fā)起的疫情相關(guān)釣魚郵件，惡意附件類型多種多樣，大多旨在分發(fā)Agent Tesla(一種信息竊取工具，出現(xiàn)于2014年甚至更早)，利用CVE-2017-11882漏洞發(fā)起攻擊，并通過smtp協(xié)議回傳數(shù)據(jù)到mailhostbox下注冊的郵箱。種種跡象與“SWEED”黑客組織的相關(guān)情報完全吻合。

SWEED至少在2017年就已經(jīng)開始運作，主要使用信息竊取工具和遠(yuǎn)程訪問木馬(RAT)來攻擊目標(biāo)。

釣魚郵件溯源分析

我們以其中抽取的兩封“SWEED”黑客組織發(fā)起的釣魚郵件為例，來進(jìn)行詳細(xì)的溯源分析。

1. 郵件1：中國冠狀病毒病例：查明您所在地區(qū)有多少

釣魚郵件正文

釣魚郵件附件

包含附件：list.xlsx

附件MD5：5fc077636a950cd5f89468e854c0e714

對附件進(jìn)行聯(lián)動分析，發(fā)現(xiàn)其在多個威脅情報中爆出使用CVE-2017-11882漏洞攻擊，在2020-03-14 16:33:30首次攻擊被睿眼監(jiān)測的服務(wù)器。

聯(lián)動分析

附件樣本分析：

樣本list.xlsx(MD5：5FC077636A950CD5F89468E854C0E714)利用CVE-2017-11882公式編輯器漏洞，從http://216.170.123.111/file.exe下載文件到%AppData%\Roaming\vbc.exe執(zhí)行。

下載木馬程序

vbc.exe內(nèi)存加載一段ShellCode執(zhí)行。

加載一段ShellCode執(zhí)行

ShellCode中使用ZwSetInformationThread 函數(shù)修改_Ethread結(jié)構(gòu)中的HideFromDebuggers進(jìn)行反調(diào)試，之后動態(tài)獲取一些進(jìn)程注入使用的API地址。

使用ZwSetInformationThread進(jìn)行反調(diào)試

動態(tài)獲取進(jìn)程注入使用的API地址

之后創(chuàng)建RegAsm.exe進(jìn)程，將本段ShellCode注入新創(chuàng)建的RegAsm.exe進(jìn)程。

創(chuàng)建RegAsm.exe進(jìn)程并注入ShellCode

修改線程Context后恢復(fù)執(zhí)行。

修改線程Context

ShellCode注入RegAsm.exe進(jìn)程后從http://216.170.123.111/nass.exe下載“nass.exe”，其功能與vbc.exe相同。

下載“nass.exe”

再次從http://216.170.123.111/MR_encrypted_D34A1CF.bin下載一個加密的文件。

下載“MR_encrypted_D34A1CF.bin”

解密之后加載執(zhí)行。

加載執(zhí)行MR_encrypted_D34A1CF.bin

解密后的EXE為C#編寫經(jīng)過混淆的Agenttesla木馬，會收集計算機名、用戶名、系統(tǒng)版本以及內(nèi)存大小等信息，主要為竊取瀏覽器訪問記錄及保存的帳號和密碼，同時還具有監(jiān)控鍵盤按鍵和剪切板的功能，支持屏幕截圖。

收集用戶名、計算機名

收集系統(tǒng)版本和內(nèi)存大小

竊取瀏覽器訪問記錄及保存的帳號、密碼

監(jiān)控鍵盤按鍵、剪切板，并支持屏幕截圖等

收集的信息支持HTTP、FTP以及SMTP三種方式回傳。本樣本配置通過SMTP回傳。

配置通過SMTP回傳

惡意程序中存儲的登錄方式經(jīng)過解密可獲取攻擊者使用的郵箱賬號密碼。

2. 郵件2：Coronavirus - H&Q AUTO Update

釣魚郵件正文

包含附件：H&Q AUTO customer letter COVID-19 update.doc

附件MD5 : 1c87c6c304e5fd86126c76ae5d86223b

3. 附件樣本分析：

對doc文件進(jìn)行分析，程序調(diào)用Office公式編輯器，利用CVE-2017-11882漏洞進(jìn)行攻擊。

調(diào)用命令行

惡意文件運行調(diào)試后會訪問域名“sterilizationvalidation.com”下載PE文件“elb.exe”，其功能與Agent tesla木馬相同。通過路徑看，是利用一個存在漏洞的WordPress網(wǎng)站作為C&C節(jié)點。

下載請求

通過SMTP流量將從主機中獲得的數(shù)據(jù)發(fā)送出去：

wireshark截圖(SMTP流量)

從流量上看，攻擊者通過mailhostbox郵箱服務(wù)商，登陸設(shè)定好的郵箱給自己發(fā)送了一封郵件，郵件內(nèi)容是受害主機內(nèi)的相關(guān)應(yīng)用賬號密碼。

SMTP協(xié)議數(shù)據(jù)包

發(fā)送受害者信息的同時，攻擊者也在數(shù)據(jù)包中暴露了收件郵箱的賬號密碼。對數(shù)據(jù)解密后，安全專家成功登陸攻擊者的收件郵箱。

攻擊者郵箱的收件箱

這是SWEED黑客組織其中一個收取回傳信息的郵箱。自2020年1月19日收到第一封郵件起，此郵箱已收到121封郵件?？赏茢嘁咔閯傞_始爆發(fā)，攻擊者便開始了相應(yīng)的郵件釣魚動作，并一直持續(xù)進(jìn)行釣魚攻擊。

4. 目標(biāo)受害者影響分析

無論是釣魚郵件“中國冠狀病毒病例：查明您所在地區(qū)有多少”還是“Coronavirus - H&Q AUTO Update”，其中的惡意程序都只是個木馬下載器，最終執(zhí)行的木馬都是Agent tesla木馬。

從本次截取的樣本數(shù)據(jù)中，安全專家獲得多個“SWEED”黑客組織收取盜竊密碼的郵箱，收件箱中共發(fā)現(xiàn)342封郵件，對應(yīng)342個受害者，經(jīng)去重后被竊取的相關(guān)賬號密碼多達(dá)1307個，主要以Chrome和Firefox中存儲的密碼為主。

數(shù)據(jù)回傳郵件中的賬號分布占比

受害者主機回傳的郵件

盡管木馬上傳程序中并沒有設(shè)定記錄受害者IP，安全專家通過提取EML的Received頭中發(fā)件客戶端IP作為受害者IP，統(tǒng)計發(fā)現(xiàn)受害者遍布57個國家。安全專家進(jìn)一步根據(jù)登錄URL、受害者IP、賬戶三個屬性篩選出20多個中國受害者，得到30多個國內(nèi)賬號，并經(jīng)校驗發(fā)現(xiàn)目前部分賬號依然可在線登錄。

相關(guān)安全建議

1. 針對已購買“睿眼·郵件攻擊溯源系統(tǒng)”的單位：

(1) 實時檢測疫情相關(guān)釣魚郵件

在睿眼·郵件的“威脅檢測”->“專家模式”下選擇威脅郵件，搜索主題或郵件正文中帶有疫情相關(guān)關(guān)鍵字的郵件，并另存為場景，實現(xiàn)對疫情特殊時期這一場景下的威脅郵件實時監(jiān)測。

疫情相關(guān)關(guān)鍵字可參考：疫|疫情|冠狀病毒|病毒|武漢|流感|衛(wèi)生|中華人民共和國國家健康委員會|衛(wèi)生應(yīng)急辦公室|旅行信息收集申請表|衛(wèi)生部指令|封城|Epidemic|situation|coronavirus|wuhan|influenza|health|COVID-19|Face mask|thermometer|World Health Organzaction

通過關(guān)鍵詞設(shè)置實現(xiàn)抗疫期間特定場景的威脅郵件實時監(jiān)測

(2) 自定義分組疫情相關(guān)釣魚郵件

在睿眼·郵件的“業(yè)務(wù)管理” -> “自定義規(guī)則” -> “添加”設(shè)定主題為疫情相關(guān)詞條時，添加到“疫情釣魚”分組，實現(xiàn)自定義分組。后續(xù)可在界面選擇自定義分組，對疫情相關(guān)釣魚郵件進(jìn)行專門檢查。

自定義設(shè)置規(guī)則實現(xiàn)對特定威脅郵件的自動分組

(3) MDR服務(wù)：郵件攻擊溯源服務(wù)

針對政企單位自身或部署睿眼·郵件發(fā)現(xiàn)的威脅郵件，中睿天下安全專家針對其需求進(jìn)行深入溯源分析，包括郵件來源、郵件影響范圍、郵件攻擊目的、攻擊者身份背景等溯源分析，最終以報告形式交付，適用于高級郵件攻擊事件的溯源分析。

2. 針對普通郵箱用戶：

• 謹(jǐn)防關(guān)于“疫情”、“新型冠狀病毒”、“COVID-19”等相關(guān)熱點詞匯的電子郵件，不要隨意下載或打開來歷不明的相關(guān)郵件及附件。
• 由于附件中除使用office漏洞和PE文件以外，office宏攻擊最為常見。建議在office選項->信任中心->信任中心設(shè)置->宏設(shè)置->禁言所有宏進(jìn)行設(shè)置，關(guān)閉office宏功能，防止被宏病毒感染。
• 正文中如果存在網(wǎng)站鏈接或可點擊圖片，可點擊右鍵檢查其鏈接URL與描述是否一致。當(dāng)URL中帶有當(dāng)前郵箱名或使用短鏈接，如非業(yè)務(wù)需要，很可能就是釣魚網(wǎng)站。

3. 疫情相關(guān)高頻郵件名(部分)

詐騙類型釣魚郵件：

• 中國冠狀病毒病例：查明您所在地區(qū)有多少
• Supplier-Face Mask/ Forehead Thermometer
• The Latest Info On Pharmaceutical Treatments And Vaccines.
• We Have A Lot Of Face Mask!!!
• Your health is threatened!
• COVID-19批準(zhǔn)的針對中國，意大利的補救措施

WHO組織偽造：

• COVID-19 UPDATE
• COVID-19更新
• RE: Final Control Method | World Health Organization| Important
• COVID-19 Solution Announced by WHO At Last As a total control method is discovered
• RE: Coronavirus disease (COVID-19) outbreak prevention and cure update.
• World Health Organization/ Let’s fight Corona Virus together
• World Health Organization - Letter - COVID-19 - Preventive Measures

疫情相關(guān)惡意郵件附件名：

• COVID-19 UPDATE_PDF.EXE
• CV + PICTURES 2938498-02-27-2020.arj
• list.xlsx
• message.txt .scr
• uiso9_cn.exe
• Coronavirus Disease (COVID-19) CURE.exe
• Breaking___ COVID-19 Solution Announced.img
• game_zy0520.pif
• CORONA_TREATMENT.pdf.exe
• covid-19.img
• COVID-19 WHO RECOMENDED V.exe
• H&Q AUTO customer letter COVID-19.doc
• WHO-COVID-19 Letter.doc

4. 相關(guān)IOCS：