今年的瘋狂十四天一開始,就有師傅收到一份特殊簡歷——疑似包含釣魚木馬。

微步云沙箱S分析了上面的樣本,結果證實,這次屬于釣魚攻擊。

還在拉扯人馬的防守隊伍,人要被釣成翹嘴了,上述攻擊手段在最近的演習中屢見不鮮。演習進入第二周,微步云沙箱S捕獲了數百個針對性的釣魚文件,其中多數是CobaltStrike(以下簡稱CS)木馬。

在這些釣魚攻擊中,攻擊隊使用了各種迷惑性的主題,如簡歷、零日、安全工具、吃瓜、騷擾、曝光、補貼、通知、問題反饋、績效考核、薪資等,釣魚方向和社工高度相關。

比如,這是其中一個試圖以社保信息為餌,進行釣魚攻擊的案例。

在這個釣魚攻擊中,攻擊隊偽裝人力資源部,向目標發送社保相關“通告”,引誘目標打開惡意附件。附件是一個加密壓縮包,包含一個圖標偽裝文檔的惡意可執行文件,為了迷惑受害者,打開之后會出現一個看上去像那么回事的文檔,文檔內容和郵件主題內容呼應,簡直做戲做全套。

惡意文件圖標如下:

惡意文件運行截圖如下:

對附件進行分析后,可以看出場景標簽包含“CobaltStrike檢測”,說明是CS木馬。

在“CS場景檢測”模塊,還可以看到該樣本在情報、靜態、網絡行為和流量這幾方面都呈現了CS相關特征。

  

至此,可以確認此樣本是CS木馬。同時,我們可以使用行為檢測、情報檢測、配置提取、多維檢測、引擎檢測、靜態分析、動態分析等模塊對樣本進行進一步分析。

溫馨提示,在演習或日常工作中,如遇郵件或IM釣魚,或發現可疑文件,都可以上傳至微步云沙箱S進行快速分析檢測。如果樣本不便公開,可在上傳時選擇隔離樣本。

最后附上一些釣魚情報:

SHA256

文件名

94e1f855be8f5a8477029601f8c44c0c120de8779c812bb86f9f9c3893baa4a9

關于統一2023年度各項社會保險繳費工資基數上下限的通告.rar

f141a7c765f3bd6f80968a934a778bdf4f0267adbec1fd60b448ac1de2c05622

張**簡歷—1575736**00—計算機(廣州)(1).rar

40ef0deec0f87b5abfb6ed3eaa24671c062ae71ca4e9ce61bf97c6c84080fd8c

關于“中***”微信視頻號發布短視頻的信息說明.exe

7f7990d7caebf089b056555f2e6c6519d58c38e0aa8276322c11175bfa3c987e

關于官網注冊后信息有關問題的反饋.exe

cd6ac4b9ad9be2ba5839aef2b1c76ed94ab19722f3e35826eb0fbe704f745aa0

舉報信**主管張*彪涉嫌性騷擾.exe

c157dcaf62e026ba3f2bf42db4996de5714165913b6353f20b4ed397df9f3ca6

高溫補貼-人員信息收集表.xlsx(請勿外傳).exe

d758f2fb9cecf2ef3eb39b23290aedbd8375038f7254434c4f781e095aaf146a

工**部-薪資信息表-馬*桐(保密)(解壓密碼:企業域名).exe

e8d31c5e2967aab4745f9ddc00a31779f004d048de86391b4fbd622ab3269772

java程序員-簡歷-宋*全.docx.exe

70927bc8f82f9c3af92e907ae6f655bd22215607270055dba1230a3a816b1831

金融**信息系統(FFIS)登錄顯示系統崩潰問題反饋.rar

4bb74d81e4e09621b7b9f4182899fc372fade3ecd2221bd709efdc37817a3340

附件1:Windows郵件客戶端升級教程.exe

eb0139f2fc44ab23afc2a46831a51f754c1467ba95c15c3bddbedda308a9b06f

關于調整北***空基層干部員工2023年7月份績效考核結果的通知.7z

371e893ea727d7c5a44d3ebe082db98a10912f6b722d1ec5d22071d7535a3af1

“護航**”網絡安全專項整治行動方案.zip

5a9930add001fc715b5c93fc1ef49e54cc53642b89fa95cda7d2ada522b50280

99個震驚世界的未解之謎!! .zip

e0304d84391c3aaf0576e40baedfcb50a226820b3f75cfc63570095ab1305a3c

flashplayerpp_install_cn_web.exe

47b8ce7c055af1cb548324aa7d8bd0e0184e4e6dfd69161ab4277b0bb668cdbe

奇*信專殺工具.rar

附微步云沙箱S地址:https://s.threatbook.com

釣魚
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接