1
摘要
近日,微步终端安全管理平台OneSEC检测到了多起钓鱼攻击。有黑产团伙以律师函和员工私生活信息为诱饵,向银行、证券、央企、科技等行业用户,大规模投递恶意文件。
为了增强钓鱼邮件的可信度,攻击者伪造了政府网站链接地址,诱导受害者点击,实际则是从云存储或者攻击者服务器上下载恶意文件, 从而窃取浏览器数据。
下载到的压缩包解压后会释放《起诉材料和借款证据.doc.exe》,被OneSEC检出。
恶意样本运行后,会执行多个恶意行为,如下图所示。
经分析确认,此次攻击发起者为GanbRun黑产团伙。该团伙于2022年3月被微步情报局首次披露,至今仍处于高活跃状态,已形成了成熟的钓鱼诈骗流程。他们常常伪装为“财务”、“人力”等角色,以社保、公积金、个人所得税、劳动补贴等福利补贴为诱饵,大量发送携带二维码的钓鱼邮件。受害者在扫描这些二维码后,就会跳转到伪造的政府网站或者银行卡信息收集页面,进而导致银行卡、手机号、密码和身份证号等敏感个人信息甚至银行存款被盗。
此次新的钓鱼活动是GanbRun少见的使用恶意软件的钓鱼行为,对比以往的攻击钓鱼活动,这次GanbRun更“主动”地收集受害者的信息,而不是诱导受害者进行提交,这也体现了GanbRun的钓鱼活动更进一步的升级。
微步情报局通过对相关样本、IP 和域名的溯源分析,提取多条IOC。目前,微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 以及OneSEC 等,均已支持对此次攻击事件的检测与拦截。
2
事件描述
| 攻击目标 | 金融、能源、国有企业、地产开发 |
| 攻击时间 | 2024年7月至今 |
| 攻击向量 | 钓鱼 |
| 攻击复杂度 | 中等 |
| 最终目的 | 窃密 |
3
事件详情
2024年7月,微步情报局发现GanbRun针对大量客户高频率发送大量的钓鱼邮件,邮件主题通常伪装为上海某律所律师,代理小额贷款公司或者供应商公司向受害者索取贷款或者货款,内容为律师函之类,邮件中包含链接地址:
攻击者为了增强钓鱼邮件的可信度,构造了政府网站链接地址为超链,实际从云存储或者攻击者服务器上下载后续样本文件。
下载的样本文件为开源项目HackBrowserData自编译版本,HackBrowserData是一个命令行工具可以用于解密和导出浏览器数据(密码,历史记录,cookies信息,凭证,书签,下载历史信息,本地存储和扩展等),支持主流的浏览器和操作系统平台。
攻击者通过自编译HackBrowserData,将图标伪装为word文档,受害者运行后请求https://api.ipify.org/?format=text 获取本机ip,然后收集浏览器历史记录等信息发送至攻击者服务器:
通过对攻击者资产和样本进行拓线,发现早期攻击者使用过政府单位网站作为样本的下载地址。
链接地址所存在站点目前无法访问,根据url信息可猜测,该地址存在任意文件上传漏洞,且攻击者在2024年7月24日上传文件,并在28日还在作为恶意样本的下载地址使用。
攻击者除了使用律师函为主题的钓鱼邮件,还对金融行业使用以员工私生活信息为主题的钓鱼邮件:
目前,微步情报局已捕获到大量样本文件,且攻击者还在持续高频钓鱼。
4
样本分析
4.1 基本信息
| SHA256 | 9d09a1db6130df0da8f1b80bc9b2bec12fe9d2be0dcd10d3e36607b105eb8049 |
| SHA1 | 20262a3ee3eb6fdcf4646594a2d1b019196d1b93 |
| MD5 | c0b4a96c7b81cc0c162d380f85cba9cd |
| 文件类型 | PE32+ executable (GUI) x86-64, for MS Windows |
| 文件大小 | 18.4 MB (19,342,336 字节) |
| 文件名称 | 起诉材料和借款证据.docx.exe |
| 功能描述 | 使用开源项目HackBrowserData自编译版本,用于窃取浏览器数据上传到攻击者服务器 |
4.2 详细分析
样本为go语言编写,图标伪装为word文件,文件名伪装文档类型诱导目标用户点击。
对比源码,攻击者新增了main_Execute_func1函数,该函数不需要命令行参数,而通过可执行文件而直接运行,函数运行后初始化logger,然后调用PickBrowsers来寻找浏览器。
找到浏览器后,通过main_isFullExport函数将浏览器数据全部导出,然后通过ptr_BrowserData_Output函数将数据进行输出:
在ptr_BrowserData_Output中获取外网的IP地址。
获取外网IP的方式是请求api.ipify.org来获取本机的外网出口IP地址。
然后将获取的数据通过uploadToServer函数上传到攻击者服务器:
服务器地址明文编码在程序中:
该类型样本均可被S云沙箱检出:
5
关联分析
通过对攻击者恶意样本下载域名whqwlj.com.cn的子域名进行拓线,其解析IP都为143.92.52.148,同时该IP还解析www.nfmuyw.com.cn、www.nmeyco.com.cn。和whqwlj.com.cn比较,其顶级域名一致,且解析同一IP资产:
www.nfmuyw.com.cn和www.nmeyco.com.cn两条域名直接请求跳转到扫描二维码钓鱼模板页面:
该页面通过网易企业邮箱匿名文件分享进行部署,扫描二维码跳转到攻击者搭建的钓鱼网站,该钓鱼网站符合GanbRun团伙使用的钓鱼模板。
通过对另一条下载地址:pseiaseubr.bond,解析IP:206.238.77.201同时解析的域名mensbeauty-lab.com,也是二维码钓鱼地址,进一步证明两种钓鱼属于同一团伙。
mensbeauty-lab.com域名来自钓鱼邮件:
访问pdf为二维码钓鱼,扫描二维码后跳转至伪造的社保网站,诱导用户输入姓名、身份证号、银行卡号、卡内余额、银行预留手机号等信息。
IOC(部分)
C2:
qq.0d8p6p15mmctni.top(148.66.62.122:8080)
qq.3grbw6b15jrsii.top(206.238.42.173:8080)
112.213.116.171:8080
king.fgovidwaaa.bond(103.143.80.140:8080)
Hash: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· END ·
