报税月,一大波财务同事被钓鱼!(附高频攻击情报)

微步情报局最新观测到一个异常活跃的钓鱼攻击团伙,使用之前被多次曝光的多款黑产工具,包括“银狐”、“雪狼”、Zegost等。该团伙在极短时间内攻击了大量的用户,其整体攻击呈现如下特点:基于社工的钓鱼、大范围爆发式攻击、攻击手段多、攻击组件多且快速变换、攻击载荷存放多个位置、关联钓鱼域名多等

作为被攻击方,微步情报局监控到访问钓鱼站点的用户正逐步增加,被控企业也不断增加,攻击覆盖行业包括:金融、高科技、能源、企事业单位等。相比于攻击者的高速进化和多样化对抗,很多企业却仍依靠传统杀毒来应对,导致企业在攻防对抗中不断失利,让黑产攻击得到快速发展。

下图为微步情报局捕获到的钓鱼网站和钓鱼文件:

报税月,一大波财务同事被钓鱼!(附高频攻击情报)

这是近期无数起钓鱼攻击事件的缩影:使用“财务”、“医疗保险”等相关话题,通过社交软件、电子邮件等方式传播钓鱼链接或文件,针对金融、能源、企事业单位财务工作人员发起大规模钓鱼攻击。攻击效果非常明显,据微步互联网安全接入服务OneDNS数据显示,自3月1日开始个税申报以来,OneDNS拦截到的钓鱼页面数量显著上升(见下图),这意味着点击钓鱼链接的终端用户增多,钓鱼攻击覆盖的企业也越来越多。

报税月,一大波财务同事被钓鱼!(附高频攻击情报)

微步终端安全平台OneSEC也在短时间内,相继在不同企业检出攻击行为,通过对捕获到的样本进行分析,认定均属于同一攻击团伙。具体告警如下图:

报税月,一大波财务同事被钓鱼!(附高频攻击情报)

这是典型的”无文件攻击“,从钓鱼页面下载的加载器被执行后,通过一系列的绕过手法逃避杀软检测,然后连接C2下载Payload并执行。

这个攻击团伙异常活跃,据微步情报局拓线分析后发现:其不仅部署了大量的钓鱼网站和攻击资产,还利用多个公有云服务、第三方网站来存放不同的恶意文件,这些恶意文件中使用多种免杀手法去加载“银狐”、“雪狼”等C2中的Shellcode……整个攻击团伙呈现出攻击手法多、攻击组件多、攻击载荷存放灵活、钓鱼资产多等特点

01、攻击手法多:样本变种多、免杀手段多

不同钓鱼链接会下载不同的威胁样本,这些样本作为ShellCode加载器,有着不同的免杀手段用以逃避检测,达到加载RAT中Shellcode代码的目的。部分样本及免杀手法整理如下:

报税月,一大波财务同事被钓鱼!(附高频攻击情报)

微步情报局在极短时间内就捕获数以百计的样本及其变种,这些样本有着不同的哈希(Hash)、指向不同的C2,这意味着攻击团伙企图利用快速更新样本并变换C2的“时间差”来逃避检测。近期主流使用的样本哈希详见文末。

02、攻击资产多:远程管理工具更换频繁、C2上新快

微步情报局从不同样本中提取出了不同的远程管理工具,攻击团伙企图利用快速更换工具的办法来绕过检测。部分远程工具及哈希如下:

报税月,一大波财务同事被钓鱼!(附高频攻击情报)

经微步情报局拓线后发现,至少50个C2(命令与控制)服务器参与了此次钓鱼攻击,而且随着攻击目标的转移和扩大,不断有新的C2加入。目前被频繁使用的C2地址详见文末。

03、钓鱼资产多:钓鱼域名多、专门针对财税人员

微步情报局目前已监测到多个钓鱼资产,部分域名与网站主题如下:

报税月,一大波财务同事被钓鱼!(附高频攻击情报)

04、载荷存放灵活:滥用公有云服务与第三方网站

与其他攻击团伙不同的是,该攻击团伙不仅使用自有资产来存放恶意载荷,还灵活使用了公有云服务、第三方网站来存放恶意文件与攻击载荷。下面展示了三种不同方式存放的不同恶意文件及哈希:

报税月,一大波财务同事被钓鱼!(附高频攻击情报)

05、攻击预防与威胁处置

鉴于此攻击团伙正保持着异常活跃的攻击活动,还在频繁更新样本、上线新的资产与钓鱼域名。为更好地防范攻击,建议企业做好以下几点:

  1. 如果已部署微步产品(TIP、TDP、OneSEC、OneDNS、OneSandBox等),请及时更新情报,确保在第一时间获得对已有或新变种攻击的检测能力;
  2. 及时更新杀软特征库,以对威胁样本进行有效查杀。
  3. 该攻击团伙异常活跃,为有效对抗新的攻击方式,尽快补足并提高终端EDR检测能力
  4. 加强财务人员安全意识,不要随意点击社交软件、电子邮件中的不明来源文件或链接。对于已点击链接的员工,及时清理其电脑,并第一时间修改各类关键账号与密码。

附录:情报IOC(部分)

目前频繁使用的C2地址(部分):

154.91.84.175:15175

154.91.64.52:11585

154.205.7.68:15402

134.122.184.88:13489

154.91.64.110:17386

154.91.65.239:13592

134.122.184.88:13489

154.91.65.98:16598

154.39.238.20:13820

156.253.14.119:12706

143.92.34.235:19243

206.238.115.231:10532

206.238.198.218:19027

118.107.41.5:10741

143.92.34.235:19243

154.91.65.147:16547

目前传播较多的样本Hash(部分):

aadfc8dcdb6d3c05c8109b9fca7ce548
e2a3695183a53cf01c5fee5dd13afb45
bae8d64ddb69f4b7a14871c598f41bac
bfc6a152e1ce55cb3f547f52c3bdf2fc
57397ad9889d2009e87456ef4154bf4d
e2653142160ea22eaa31961f452b8336
0162ec0da9b029460e325b7b68d8cf31
17cbbe3538c7893abc430551fdd9a84e
417e93be148d5941eee4452dac5988b9
国家网信办公布《促进和规范数据跨境流动规定》(附全文)

原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/2762.html

发表回复

登录后才能评论