企業財務人員注意!近期黑產團伙“假面企鵝”頻繁發起針對財務定向魚叉攻擊
- 本文共計 3255 個字,預計閱讀時間 10 分鐘 -
這天,像往常一樣,你打開郵箱,準備清理待辦。你萬萬沒想到的是,一場精心策劃的騙局已經盯上了你。
一封標題為“電子票據”的郵件,瞬間勾起了你的興趣。
因為與工作相關,你毫不猶豫點開了這封郵件,然后點擊 “word” 文檔附件,等待下載,動作一氣呵成。沒想到,這時桌面彈出了一個熟悉的 QQ 登錄對話框:“系統檢測到您的網絡繁忙,請重新登錄。”
于是,你按照“系統”要求,輸入 QQ 賬號密碼。到此,你已成功上鉤,并把你的 QQ 賬號密碼拱手送給了黑客。
上述場景正是近期微步情報局監測到的,針對國內公司財務人員,發起的定向釣魚郵件攻擊的套路之一。微步情報局根據其攻擊手法和特點,將其命名為“假面企鵝”。
接下來,我們將對“假面企鵝”的攻擊手段、鏈路及相關IOC做一個較為完整的分析與展現,希望能夠引起廣大企業安全運維及財務人員注意。
一、“假面企鵝”攻擊鏈路還原:如何讓你交出 QQ 賬號密碼
方式一:釣魚郵件獲取
為獲取目標企業財務人員的 QQ 賬號密碼,進一步對企業實施惡意活動,“假面企鵝”團伙通常以“電子票據”、“合同文件”為定向釣魚郵件的主題,釣魚郵件的附件則植入木馬,偽裝成 Word 文檔、Excel 文檔圖標,攻擊活動中植入的木馬包括易語言和 Delphi 兩種類型,目的只為實現 QQ 賬密盜取。
當財務人員運行植入木馬的附件后,桌面立即彈出虛假的 QQ 登錄框,誘導其填寫 QQ 賬戶和密碼,并將賬號密碼數據回傳至攻擊者,為后續其他惡意活動做準備。
方式二:釣魚站點獲取
除了直接利用釣魚郵件盜取財務人員的 QQ 賬號密碼外,“假面企鵝”還有一批用于 Web 釣魚的資產。該團伙將釣魚站點偽裝成財政會計行業管理系統,極具專業性與迷惑性,從而定向攻擊財會從業人員,最終獲取到該財務人員的 QQ 賬號密碼。
根據微步情報局的監測,“假面企鵝”黑產團伙并不是近期才開始作案,而是從2020年就已活躍,并且在去年的“雙11”活動前,針對電商消費者進行過攻擊。
覺得太長,沒時間看細節分析的朋友,可直接拉到最后看防護建議。
二、“假面企鵝”攻擊手段亮點:兩種木馬攻擊
本次“假面企鵝”攻擊團伙借助的盜號木馬,使用了 Delphi 環境與易語言環境兩種語言進行設計開發,并進行了免殺優化。其中,Delphi 木馬無釋放下載行為,主體程序直接實現盜號;易語言木馬會涉及多個網絡下載交互最終實現盜號。對于這兩種木馬,我們都在下方進行了樣本分析:
(一)Delphi盜號木馬
文件名稱
【電子票據】04200190011100010120.exe
MD5
0a6f41bb1a032a0c3b10e63997351610
SHA1
8568780e185758699c4326b84af2ea892d46642d
SHA256
7b62672dc70f14a184728d62dcd57d00c4a3a6fb7ec8dfb79090568b72ada935
文件類型
EXE x86
文件大小
1.59 MB (1,674,240 字節)
編譯環境
Embarcadero Delphi
編譯時間
2021-04-22 20:05:13
C&C
www.shouta1133.com
功能描述
盜 QQ 號木馬
該木馬采用 Delphi 開發編譯,定位關鍵窗口類 TForm3 如下:
TForm3 類函數如下,其中主要關注類初始化函數_TForm3_FormCreate、按鍵響應函數_TForm3_txt_uidKeyPress 以及一個定時器函數_TForm3_Timer1Timer。
_TForm3_FormCreate 函數先彈出偽造的文件損壞提示的窗口。然后文件內存提取 C&C 及 UID(當前樣本為12,疑似用來標識特定盜號木馬類型)信息。接著,將遍歷查找 QQ.exe 進程,拷貝其內存進行搜索操作。
QQ 進程內存操作如下,當前調試發現僅成功獲取 “clientuin=” 字段信息、即 QQ 賬號,暫未發現成功獲取 Clientkey 數據。
成功獲取 QQ 內存數據信息后,將結束 QQ 進程并彈窗(如運行環境沒有啟動 QQ 進程,則直接彈窗)。
彈窗同時,木馬會創建一個如下的定時器線程,該線程通過將鼠標響應區域限制在上述“重新登錄”窗口范圍內,導致用戶只能在上述窗口范圍類操作,除了輸入 QQ 賬密、點擊窗口按鈕之外,無法進行其他任何操作(要退出只能強行關機或遠程命令關閉)。
TForm3_txt_uidKeyPress 函數用于響應用戶輸入賬密時的按鍵消息。當輸入完成后將向 C&C 端發送賬密數據,并且刷新“重新登陸”窗口(用戶無法通過窗口按鈕結束窗體)。
向 C&C 端 post 賬密。使用 & 連接各字段,uid=12&uin=XXXXXXXX&p=threatbook123456&key=%20。
協議解析如下:
uid
標識盜號木馬版本
uin
QQ賬號
p
QQ密碼
key
疑似QQ clientkey
(二)易語言盜號木馬
文件名稱
mini.exe
MD5
e3eb5431eaeb76b078f94d51eff68eaf
SHA1
068b5e2dc5802b8b519c04f99d42f104de87ede8
SHA256
b32bb4f8255e47ac632177d5feba502de41b05bbef24296f508838f72be4e996
文件類型
EXE x86
文件大小
39.50 KB (40448 bytes)
編譯環境
易語言
編譯時間
1972-12-25 05:33:23
C&C
shouta1166.com
功能描述
下載器,后續實現 QQ 盜號功能。
該樣本使用 Aspack 壓縮殼加殼保護。脫殼分析,發現為易語言開發程序,通過易語言網絡 API 實現自身下載功能。
動態監控如下。該程序為下載器,用于請求 hxxp://shouta1166.com/home/raw/13/2 托管的 JavaScript 腳本執行。
JavaScript 腳本是通過開源工具生成,用于裝載 .Net 程序執行。
動態解密 C&C 配置信息 “hxxp://shouta1166.com|13”。
后續將繼續下載解密 inject.dll 模塊,遠程線程注入 QQ 進程,竊取 QQ 賬密、clientkey 相關數據,其攻擊手法及流程與友商披露報告基本一致,不再贅敘。
截圖引自 https://www.secrss.com/articles/27165
三、關聯分析:“假面企鵝”作案圖譜完善
1. URL 指紋拓線
在木馬【電子票據】04200190011100010120.exe(MD5:0a6f41bb1a032a0c3b10e63997351610 中提取了 C&C 域名:www.shouta1133.com。根據 C&C 域名,關聯到樣本 MD5:82f5c7966540ac641a674264b0409609 和樣本 MD5:8814b215de4bf54fe63b06d8374e3eb3 關聯到的樣本會訪問 URL:http://www.shouta1133.com/home/raw/12/3,根據 URL 特點進行關聯,發現同類URL:
http://shouta1133.com/home/raw/10/2
http://shouta1166.com/home/raw/13
http://jinpaibumen2.com/home/raw/20/3
http://laofafa1688.com/home/raw/14/4
http://shounaheiming1688.com/home/raw/21
http://woyaolaolaolao.cn/home/raw/8/1
其中,laofafa1688.com 是2020年針對電商消費者發起的攻擊活動中所使用的 C&C(https://www.secrss.com/articles/27165)。
而在樣本層面,此次攻擊活動與2020年攻擊活動所使用的的樣本相似度極高。因此,微步情報局將這兩次攻擊活動歸因為同一黑產組織,并根據其特點命名為“假面企鵝”。
2. 攻擊樣本拓線
根據易語言盜號木馬指紋特征,發現另一例攻擊木馬如下:
SHA256
a6a55a0ae2c2b6cf0291cd3f8389f9dd875d23ae6da60514094725d4e2b280d3
SHA1
7b16285785a4743432c5332db9508b9175e42a71
MD5
d28ee1d9c932f66ded308a27c07b8c26
文件類型
PE32 EXE
文件大小
491520 字節 (480.00 KB)
文件名稱
蓋章合同文件.exe
C2
9shadhj6s5.cn
sahjdhj683.cn
3256jgasddhj3.cn
功能描述
樣本為易語言編寫,偽造 QQ 登錄框竊取目標 QQ 賬密。
X情報社區查詢 9shadhj6s5.cn,該域名 Whois 信息如下:
基于 Whois 信息拓線,發現有另外幾個攻擊者資產 86hdajd136.cn 、692sahjhj8.cn 、953hskakj52.cn 、sahjdhj683.cn和 3256jgasddhj3.cn,域名特征一致,6個域名均在今年4月份注冊。
其中,sahjdhj683.cn 偽裝成“財務會計行業管理系統”進行釣魚活動,同樣是竊取 QQ 賬密。
同樣方式拓線出該組織2020年網絡資產如下:
3. 可疑 IP 資產拓線
分析釣魚資產 mailsasa.cc,其解析 IP 為 113.196.70.222,解析地理位置為中國臺灣省臺北市,ASN 運營商為臺灣遠傳電信股份有限公司。對該 IP 反查域名進行排查,根據 Whois 數據碰撞可拓線大批“假面企鵝”黑產組織網絡資產。
目前,微步在線通過對相關樣本、IP 和域名的溯源分析,已提取相關 IOC,可用于威脅情報檢測。微步在線威脅感知平臺 TDP、本地威脅情報管理平臺 TIP、威脅情報云 API、互聯網安全接入服務 OneDNS 等均已支持對此次攻擊事件和團伙的檢測。
四、定向魚叉攻擊防護建議
過去十年當中,魚叉式定向釣魚攻擊的比例在不斷攀升。不夸張的說,該攻擊方式幾乎可以避開我們的所有努力,原因在于攻擊團伙往往準備充分,對被攻擊者業務、負責項目、興趣等非常熟悉。想要更好地防御,企業不僅要建立起完善強大的安全防御體系,更要加強內部員工安全意識培訓與演練,了解最新攻擊團伙手段,做到心中有數,才能從容應對。
(一)企業端:增強安全建設,提升企業防釣魚能力
1. 郵件安全協議配置優化。部署不同級別的安全協議,如發件人策略框架(SPF),通過電子郵件身份驗證類型,驗證并確保發送或接收到的電子郵件來自授權郵件服務器;或者域名秘鑰識別郵件標準(DKIM),通過消息加密認證的方式對郵件發送域名驗證;或是 DMARC 郵件協議,當郵件發送方收到該域發送的郵件,可通過 DMARC 協議校驗,以此檢測郵件真實性。
2. 提升郵箱賬戶防護能力。重要賬戶采用雙因素身份驗證,登錄賬號時,可通過短信驗證碼進行二次驗證,加強防護。同時,還需加強對企業弱口令檢測,降低員工賬號密碼泄露風險。通過微步在線威脅感知平臺 TDP,就能及時發現內網郵箱賬號弱口令,快速排除風險。
3. 加強企業辦公網接入保護。對于員工安全意識不足,無法識別釣魚網站,給企業帶來風險的情況,可進一步加強企業辦公網接入保護。通過微步在線 OneDNS 產品,有效防護釣魚鏈接、非法站點等多種新型高級威脅,實現檢測、攔截、定位、取證一體化,幫助企業減少員工被釣魚可能,提升安全防護能力。
(二)員工端:加強員工防釣魚意識與安全演練
1. 加強釣魚郵件安全意識培訓。全員宣傳防釣魚知識,注意緊急或威脅類郵件、發件人拼寫有誤、附件或鏈接URL指向不正確的郵件,不點擊來源不明的附件,對熟人的郵件保持警惕,并且注意檢查發件人郵箱全稱是否有誤。
2. 不定期進行內部釣魚演練。可選擇合適時間、主題,針對公司全員或部分關鍵崗位進行特定釣魚演練,將安全知識學以致用,可大幅提高全員安全防范意識。
最后,對于近期“假面企鵝”上線發起頻繁攻擊事件,歡迎將文章分享給你身邊從事財務以及企業安全運維工作的朋友,對釣魚攻擊多一分認知,企業就多一分安全。
安全傳送門
如果想進一步咨詢:
如何做好企業各種風險識別
或加強企業辦公網接入安全保護
歡迎長按識別二維碼聯系我們
· END ·
點擊下方名片,關注我們
覺得內容不錯,就點下“贊”和“在看”
如果不想錯過新的內容推送,可以設為星標 
哦
