疫情相關(guān)釣魚郵件增長(zhǎng)近6倍

近幾個(gè)月以來，隨著新型冠狀病毒肺炎“COVID-19”在全球范圍內(nèi)快速蔓延，許多國(guó)家和地區(qū)的衛(wèi)生系統(tǒng)不堪重負(fù)。與此同時(shí)，攻擊者卻趁火打劫，利用釣魚郵件對(duì)政府、醫(yī)療等重要部門進(jìn)行攻擊。

通過近期監(jiān)測(cè)的數(shù)據(jù)，睿眼·郵件發(fā)現(xiàn)使用疫情作為釣魚郵件內(nèi)容的郵件大幅增長(zhǎng)，其中“冒充WHO組織”、“詐騙捐款”、“疫情物資欺騙”、“疫情進(jìn)度(信息)欺騙”等最為常見。隨機(jī)截取多個(gè)睿眼·郵件的部分流量數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)疫情相關(guān)釣魚郵件占總釣魚郵件的比例為1月0%、2月0.0634%、3月0.4013%。相比二月，三月份疫情相關(guān)釣魚郵件增長(zhǎng)近6倍。同時(shí)，攻擊者也愛追“熱點(diǎn)”，針對(duì)疫情的最新動(dòng)向不斷更新釣魚話術(shù)，利用受害者恐懼、好奇等心理，增加釣魚攻擊的成功幾率。

在2月初國(guó)內(nèi)疫情較為嚴(yán)重的階段，攻擊者使用“中國(guó)冠狀病毒病例：查明您所在地區(qū)有多少”等中國(guó)疫情相關(guān)主題及內(nèi)容進(jìn)行郵件釣魚投放木馬。而到3月中旬意大利疫情迅速惡化階段，攻擊者轉(zhuǎn)為使用“COVID-19批準(zhǔn)的針對(duì)中國(guó)、意大利的補(bǔ)救措施”等國(guó)際熱點(diǎn)內(nèi)容進(jìn)行郵件釣魚投放木馬。

2月：利用中國(guó)疫情相關(guān)內(nèi)容發(fā)起攻擊

3月：利用國(guó)際熱點(diǎn)內(nèi)容發(fā)起攻擊

在進(jìn)行抽樣分析的過程中，中睿天下安全專家團(tuán)隊(duì)發(fā)現(xiàn)多起“SWEED”黑客組織發(fā)起的疫情相關(guān)釣魚郵件，惡意附件類型多種多樣，大多旨在分發(fā)Agent Tesla(一種信息竊取工具，出現(xiàn)于2014年甚至更早)，利用CVE-2017-11882漏洞發(fā)起攻擊，并通過smtp協(xié)議回傳數(shù)據(jù)到mailhostbox下注冊(cè)的郵箱。種種跡象與“SWEED”黑客組織的相關(guān)情報(bào)完全吻合。

SWEED至少在2017年就已經(jīng)開始運(yùn)作，主要使用信息竊取工具和遠(yuǎn)程訪問木馬(RAT)來攻擊目標(biāo)。

釣魚郵件溯源分析

我們以其中抽取的兩封“SWEED”黑客組織發(fā)起的釣魚郵件為例，來進(jìn)行詳細(xì)的溯源分析。

1. 郵件1：中國(guó)冠狀病毒病例：查明您所在地區(qū)有多少

釣魚郵件正文

釣魚郵件附件

包含附件：list.xlsx

附件MD5：5fc077636a950cd5f89468e854c0e714

對(duì)附件進(jìn)行聯(lián)動(dòng)分析，發(fā)現(xiàn)其在多個(gè)威脅情報(bào)中爆出使用CVE-2017-11882漏洞攻擊，在2020-03-14 16:33:30首次攻擊被睿眼監(jiān)測(cè)的服務(wù)器。

聯(lián)動(dòng)分析

附件樣本分析：

樣本list.xlsx(MD5：5FC077636A950CD5F89468E854C0E714)利用CVE-2017-11882公式編輯器漏洞，從http://216.170.123.111/file.exe下載文件到%AppData%\Roaming\vbc.exe執(zhí)行。

下載木馬程序

vbc.exe內(nèi)存加載一段ShellCode執(zhí)行。

加載一段ShellCode執(zhí)行

ShellCode中使用ZwSetInformationThread 函數(shù)修改_Ethread結(jié)構(gòu)中的HideFromDebuggers進(jìn)行反調(diào)試，之后動(dòng)態(tài)獲取一些進(jìn)程注入使用的API地址。

使用ZwSetInformationThread進(jìn)行反調(diào)試

動(dòng)態(tài)獲取進(jìn)程注入使用的API地址

之后創(chuàng)建RegAsm.exe進(jìn)程，將本段ShellCode注入新創(chuàng)建的RegAsm.exe進(jìn)程。

創(chuàng)建RegAsm.exe進(jìn)程并注入ShellCode

修改線程Context后恢復(fù)執(zhí)行。

修改線程Context

ShellCode注入RegAsm.exe進(jìn)程后從http://216.170.123.111/nass.exe下載“nass.exe”，其功能與vbc.exe相同。

下載“nass.exe”

再次從http://216.170.123.111/MR_encrypted_D34A1CF.bin下載一個(gè)加密的文件。

下載“MR_encrypted_D34A1CF.bin”

解密之后加載執(zhí)行。

加載執(zhí)行MR_encrypted_D34A1CF.bin

解密后的EXE為C#編寫經(jīng)過混淆的Agenttesla木馬，會(huì)收集計(jì)算機(jī)名、用戶名、系統(tǒng)版本以及內(nèi)存大小等信息，主要為竊取瀏覽器訪問記錄及保存的帳號(hào)和密碼，同時(shí)還具有監(jiān)控鍵盤按鍵和剪切板的功能，支持屏幕截圖。

收集用戶名、計(jì)算機(jī)名

收集系統(tǒng)版本和內(nèi)存大小

竊取瀏覽器訪問記錄及保存的帳號(hào)、密碼

監(jiān)控鍵盤按鍵、剪切板，并支持屏幕截圖等

收集的信息支持HTTP、FTP以及SMTP三種方式回傳。本樣本配置通過SMTP回傳。

配置通過SMTP回傳

惡意程序中存儲(chǔ)的登錄方式經(jīng)過解密可獲取攻擊者使用的郵箱賬號(hào)密碼。

2. 郵件2：Coronavirus - H&Q AUTO Update

釣魚郵件正文

包含附件：H&Q AUTO customer letter COVID-19 update.doc

附件MD5 : 1c87c6c304e5fd86126c76ae5d86223b

3. 附件樣本分析：

對(duì)doc文件進(jìn)行分析，程序調(diào)用Office公式編輯器，利用CVE-2017-11882漏洞進(jìn)行攻擊。

調(diào)用命令行

惡意文件運(yùn)行調(diào)試后會(huì)訪問域名“sterilizationvalidation.com”下載PE文件“elb.exe”，其功能與Agent tesla木馬相同。通過路徑看，是利用一個(gè)存在漏洞的WordPress網(wǎng)站作為C&C節(jié)點(diǎn)。

下載請(qǐng)求

通過SMTP流量將從主機(jī)中獲得的數(shù)據(jù)發(fā)送出去：

wireshark截圖(SMTP流量)

從流量上看，攻擊者通過mailhostbox郵箱服務(wù)商，登陸設(shè)定好的郵箱給自己發(fā)送了一封郵件，郵件內(nèi)容是受害主機(jī)內(nèi)的相關(guān)應(yīng)用賬號(hào)密碼。

SMTP協(xié)議數(shù)據(jù)包

發(fā)送受害者信息的同時(shí)，攻擊者也在數(shù)據(jù)包中暴露了收件郵箱的賬號(hào)密碼。對(duì)數(shù)據(jù)解密后，安全專家成功登陸攻擊者的收件郵箱。

攻擊者郵箱的收件箱

這是SWEED黑客組織其中一個(gè)收取回傳信息的郵箱。自2020年1月19日收到第一封郵件起，此郵箱已收到121封郵件。可推斷疫情剛開始爆發(fā)，攻擊者便開始了相應(yīng)的郵件釣魚動(dòng)作，并一直持續(xù)進(jìn)行釣魚攻擊。

4. 目標(biāo)受害者影響分析

無論是釣魚郵件“中國(guó)冠狀病毒病例：查明您所在地區(qū)有多少”還是“Coronavirus - H&Q AUTO Update”，其中的惡意程序都只是個(gè)木馬下載器，最終執(zhí)行的木馬都是Agent tesla木馬。

從本次截取的樣本數(shù)據(jù)中，安全專家獲得多個(gè)“SWEED”黑客組織收取盜竊密碼的郵箱，收件箱中共發(fā)現(xiàn)342封郵件，對(duì)應(yīng)342個(gè)受害者，經(jīng)去重后被竊取的相關(guān)賬號(hào)密碼多達(dá)1307個(gè)，主要以Chrome和Firefox中存儲(chǔ)的密碼為主。

數(shù)據(jù)回傳郵件中的賬號(hào)分布占比

受害者主機(jī)回傳的郵件

盡管木馬上傳程序中并沒有設(shè)定記錄受害者IP，安全專家通過提取EML的Received頭中發(fā)件客戶端IP作為受害者IP，統(tǒng)計(jì)發(fā)現(xiàn)受害者遍布57個(gè)國(guó)家。安全專家進(jìn)一步根據(jù)登錄URL、受害者IP、賬戶三個(gè)屬性篩選出20多個(gè)中國(guó)受害者，得到30多個(gè)國(guó)內(nèi)賬號(hào)，并經(jīng)校驗(yàn)發(fā)現(xiàn)目前部分賬號(hào)依然可在線登錄。

相關(guān)安全建議

1. 針對(duì)已購(gòu)買“睿眼·郵件攻擊溯源系統(tǒng)”的單位：

(1) 實(shí)時(shí)檢測(cè)疫情相關(guān)釣魚郵件

在睿眼·郵件的“威脅檢測(cè)”->“專家模式”下選擇威脅郵件，搜索主題或郵件正文中帶有疫情相關(guān)關(guān)鍵字的郵件，并另存為場(chǎng)景，實(shí)現(xiàn)對(duì)疫情特殊時(shí)期這一場(chǎng)景下的威脅郵件實(shí)時(shí)監(jiān)測(cè)。

疫情相關(guān)關(guān)鍵字可參考：疫|疫情|冠狀病毒|病毒|武漢|流感|衛(wèi)生|中華人民共和國(guó)國(guó)家健康委員會(huì)|衛(wèi)生應(yīng)急辦公室|旅行信息收集申請(qǐng)表|衛(wèi)生部指令|封城|Epidemic|situation|coronavirus|wuhan|influenza|health|COVID-19|Face mask|thermometer|World Health Organzaction

通過關(guān)鍵詞設(shè)置實(shí)現(xiàn)抗疫期間特定場(chǎng)景的威脅郵件實(shí)時(shí)監(jiān)測(cè)

(2) 自定義分組疫情相關(guān)釣魚郵件

在睿眼·郵件的“業(yè)務(wù)管理” -> “自定義規(guī)則” -> “添加”設(shè)定主題為疫情相關(guān)詞條時(shí)，添加到“疫情釣魚”分組，實(shí)現(xiàn)自定義分組。后續(xù)可在界面選擇自定義分組，對(duì)疫情相關(guān)釣魚郵件進(jìn)行專門檢查。

自定義設(shè)置規(guī)則實(shí)現(xiàn)對(duì)特定威脅郵件的自動(dòng)分組

(3) MDR服務(wù)：郵件攻擊溯源服務(wù)

針對(duì)政企單位自身或部署睿眼·郵件發(fā)現(xiàn)的威脅郵件，中睿天下安全專家針對(duì)其需求進(jìn)行深入溯源分析，包括郵件來源、郵件影響范圍、郵件攻擊目的、攻擊者身份背景等溯源分析，最終以報(bào)告形式交付，適用于高級(jí)郵件攻擊事件的溯源分析。

2. 針對(duì)普通郵箱用戶：

• 謹(jǐn)防關(guān)于“疫情”、“新型冠狀病毒”、“COVID-19”等相關(guān)熱點(diǎn)詞匯的電子郵件，不要隨意下載或打開來歷不明的相關(guān)郵件及附件。
• 由于附件中除使用office漏洞和PE文件以外，office宏攻擊最為常見。建議在office選項(xiàng)->信任中心->信任中心設(shè)置->宏設(shè)置->禁言所有宏進(jìn)行設(shè)置，關(guān)閉office宏功能，防止被宏病毒感染。
• 正文中如果存在網(wǎng)站鏈接或可點(diǎn)擊圖片，可點(diǎn)擊右鍵檢查其鏈接URL與描述是否一致。當(dāng)URL中帶有當(dāng)前郵箱名或使用短鏈接，如非業(yè)務(wù)需要，很可能就是釣魚網(wǎng)站。

3. 疫情相關(guān)高頻郵件名(部分)

詐騙類型釣魚郵件：

• 中國(guó)冠狀病毒病例：查明您所在地區(qū)有多少
• Supplier-Face Mask/ Forehead Thermometer
• The Latest Info On Pharmaceutical Treatments And Vaccines.
• We Have A Lot Of Face Mask!!!
• Your health is threatened!
• COVID-19批準(zhǔn)的針對(duì)中國(guó)，意大利的補(bǔ)救措施

WHO組織偽造：

• COVID-19 UPDATE
• COVID-19更新
• RE: Final Control Method | World Health Organization| Important
• COVID-19 Solution Announced by WHO At Last As a total control method is discovered
• RE: Coronavirus disease (COVID-19) outbreak prevention and cure update.
• World Health Organization/ Let’s fight Corona Virus together
• World Health Organization - Letter - COVID-19 - Preventive Measures

疫情相關(guān)惡意郵件附件名：

• COVID-19 UPDATE_PDF.EXE
• CV + PICTURES 2938498-02-27-2020.arj
• list.xlsx
• message.txt .scr
• uiso9_cn.exe
• Coronavirus Disease (COVID-19) CURE.exe
• Breaking___ COVID-19 Solution Announced.img
• game_zy0520.pif
• CORONA_TREATMENT.pdf.exe
• covid-19.img
• COVID-19 WHO RECOMENDED V.exe
• H&Q AUTO customer letter COVID-19.doc
• WHO-COVID-19 Letter.doc

4. 相關(guān)IOCS：