-
-
[原创]Emotet银行木马再次通过大量群发钓鱼邮件攻击国内企业
-
发表于: 2019-10-31 11:57
-
一、概述
腾讯安全御见威胁情报中心监测到多家企业收到钓鱼邮件攻击,钓鱼邮件附件是一个Office文档,运行后宏病毒会下载Emotet银行木马执行。数据显示近期Emotet木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。腾讯电脑管家、腾讯御点均可拦截可疑文档中的宏代码执行PowerShell下载恶意程序的行为。
腾讯御点拦截宏代码执行PowerShell下载病毒
部分受攻击企业如下:
根据腾讯安全御见威胁情报中心统计数据,Emotet针对国内的钓鱼邮件攻击最严重地区为广东、北京、浙江、上海等地。该病毒影响的地区分布如下:
二、详细分析
感染执行流程
感染执行过程如下:群发钓鱼邮件,运行附件后doc文档中的宏代码获得执行,宏代码启动powershell进程下载执行Emotet银行木马775.exe,775.exe运行后将自身拷贝到system32目录下重命名为kdslicense.exe并创建为服务运行。
钓鱼邮件
钓鱼邮件内容有各种类型,包括“发票交易”、“收据”、“会议邀请”等。
另外基本所有的钓鱼邮件内容中都带有说明:This email has been checked for viruses by xxxxx(译:该电子邮件已通过xxxx杀毒软件检测),显然,这是攻击者的一种欺骗策略。
邮件附件中的doc文档带有宏代码,宏代码脚本加了大量的注释以干扰分析,去掉注释后的宏代码如下,其主要功能是:利用Powershell下载执行emotet银行木马。
Powershell下载Emotet木马
利用Powershell下载emotet银行木马,内置了多个下载emotet木马下载地址,URL地址以“*”分割记录,5个地址会被依次请求进行下载执行。Powershell 命令用base64加密,解码后如下:
Emotet银行木马下载地址:
hxxp://dsiun.com/wp-content/plugins/ku799fw5/
hxxps://kenoryn.com/wl96sonk/3twu0732/
hxxps://monteriaradio38grados.com/93dqf1b/2778/
hxxp://digitalvriksh.com/database/g31259/
hxxps://ncaaf-live-broadcast.xyz/wp-admin/v532/
emotet银行木马
emotet木马内置多个备用C2服务器地址,部分C2 IP地址:
104.131.58.132
14.160.93.230
68.183.190.199
emotet木马运行后会拷贝自身到system32目录下重命名为kdslicense.exe并创建为服务运行。
该木马的功能包括:收集系统信息,加密后发送至服务器,然后继续下载第三方载荷,包括Qbot,The Trick等木马。
加密流量信息如下:
木马会检测用户网银登录行为,通过读取隐私数据获取账号密码信息,注入恶意代码到交互页面,从而在用户的银行相关操作过程时盗取账户资产及机密信息,因而危害极大。
三、安全建议
1、我们建议企业邮箱网管根据本文末尾提供的IOCs信息,将危险发件人邮箱设置为黑名单;
2、建议企业通过培训,教育员工不要打开来源不明的邮件,如果附件是可执行程序,一定不要随意运行;
3、升级Office系列软件到最新版本,及时修复Office组件漏洞,除非确认文档来源可靠,否则不要启用宏;
4、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击。
IOCs
垃圾邮件发件人地址
6120170110@bit.edu.cn
administracion.taqueriaportalc@lacerveceria.com.mx
alineoliveira@indubras.com.br
nikki.fenn@opus-ing.com
pampaycoiron@martinic.cl
aamartinez@aceitesa.com
marcus@rodojaboti.com.br
allem.barrera@dineroinmediato.com.mx
manager@ambienzholidays.com.my
xuan.kee@drspecs.my
gerencia@yourbeauty.com.pa
aclaros@idecoas.gob.hn
secplac@munisanesteban.cl
e.nurbekov@ifce.kz
nela.valerio@megamira.pt
solivo@mundodeportivo-ec.com
tstager@envirocare.cl
rikj@cdtmail.com
estimating@rjsheetmetal.com
thomas@szmadic.com
gladston.pereira@gsinternacional.com.br
armandofazzini@vodamail.co.za
us-west-2.amazonses.com#ipadilla@aaa.com.do
coscomatepecauxiliar@tiendaslores.com
kobusjcj@vodamail.co.za
contabilidad@conterra.co
careers@innovatechltd.com
sadique.m@gconoil.com
jrlopez@hodelpa.com
syful@comillaonline.com
bryan.mairena@movistar.com.ni
doris.reveco@ssbiobio.cl
aramirez@derm-clar.com
nfwangdong1@yili.com
alejandra.osorno@ingevias.com
sales@cmm.com.do
dian.candra@anggadaperkasa.co.id
afiliacion@gruposap.com.co
eromero@dislupor.com
operaciones@motorcitysv.com
jclugo@nanodepot.mx
jorge.castillo@wappcom.com
wahome@wytech.co.ke
c-gaihan@gankofood.co.jp
rosa.vasquez@redsalud.gob.cl
ulises@trademarket.com.mx
conciliacion@conciencia.com.do
lokeshwaris@jeevica.com
mauricio@tmedia.cl
administracion@farmapana.com
sigorta@yakupoto.com
matiasdupleich@estudiodupleich.com.ar
vmmair@poncacity.net
administracion@ferraroyasoc.com.ar
accounts_rjy@leelakrishnatoyota.in
anniey@humanresourcesonline.net
stephy@sltnet.lk
operaciones@vanseguridad.com
econtabilidad@ferrecenca.com
info@ospt.com.ec
juanmanuel.ortiz@bakity.com
asistentecontable@transportdiesel.com.ec
marketing@tang-fashion.com
imran@americanwater.lk
邮件附件doc:
f9313a300426d912535c24c89aa98875
d36deee7f2b6fcee9a01c557281ffc31
Emotet MD5:
13b34c873c3dfd7590e7770755f68ca9
295bed907502b2bd731845b67a814b0e
URL:
hxxp://dsiun.com/wp-content/plugins/ku799fw5/
hxxp://coastaltherapy.com/wp-includes/chz0u9347/
hxxps://ekafebyayu.000webhostapp.com/wp-admin/iTILkd/ 580K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2K6k6i4W2K6M7$3W2F1k6i4c8Q4x3X3c8Z5j5h3&6V1j5X3q4D9L8q4)9J5k6h3y4D9N6h3u0Q4x3V1j5J5j5i4j5$3y4%4u0Q4x3V1k6E0y4s2f1H3k6o6W2X3P5W2)9J5k6o6N6C8L8e0c8Q4x3X3b7H3x3o6p5I4y4U0R3H3y4U0p5`.
hxxp://45.56.122.75/walk/guids/
hxxps://5d9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4y4W2P5i4y4K6K9h3&6W2N6q4)9J5k6r3S2S2L8X3c8T1j5h3I4D9i4K6u0W2j5$3I4#2j5W2)9K6b7e0b7@1x3H3`.`.
hxxps://kenoryn.com/wl96sonk/3twu0732/
hxxps://monteriaradio38grados.com/93dqf1b/2778/
hxxp://digitalvriksh.com/database/g31259/
hxxps://ncaaf-live-broadcast.xyz/wp-admin/v532/
IP:
104.131.58.132
14.160.93.230
68.183.190.199
参考资料:
腾讯安全预警:Emotet银行木马针对国内企业的攻击增加
05bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8W2S2K6M7Y4N6S2c8p5!0U0f1h3R3$3N6r3y4n7f1X3H3K6j5h3@1&6g2r3M7`.
