15个“没节操”的钓鱼攻击,附IoC

逆向病毒分析 1年前 (2023) admin
198 0 0

15个“没节操”的钓鱼攻击,附IoC

今年的疯狂十四天一开始,就有师傅收到一份特殊简历——疑似包含钓鱼木马。

15个“没节操”的钓鱼攻击,附IoC

微步云沙箱S分析了上面的样本,结果证实,这次属于钓鱼攻击。

15个“没节操”的钓鱼攻击,附IoC
还在拉扯人马的防守队伍,人要被钓成翘嘴了,上述攻击手段在最近的演习中屡见不鲜。演习进入第二周,微步云沙箱S捕获了数百个针对性的钓鱼文件,其中多数是CobaltStrike(以下简称CS)木马。
在这些钓鱼攻击中,攻击队使用了各种迷惑性的主题,如简历、零日、安全工具、吃瓜、骚扰、曝光、补贴、通知、问题反馈、绩效考核、薪资等,钓鱼方向和社工高度相关。
比如,这是其中一个试图以社保信息为饵,进行钓鱼攻击的案例。
15个“没节操”的钓鱼攻击,附IoC
在这个钓鱼攻击中,攻击队伪装人力资源部,向目标发送社保相关“通告”,引诱目标打开恶意附件。附件是一个加密压缩包,包含一个图标伪装文档的恶意可执行文件,为了迷惑受害者,打开之后会出现一个看上去像那么回事的文档,文档内容和邮件主题内容呼应,简直做戏做全套。
恶意文件图标如下:
15个“没节操”的钓鱼攻击,附IoC
恶意文件运行截图如下:
15个“没节操”的钓鱼攻击,附IoC

对附件进行分析后,可以看出场景标签包含“CobaltStrike检测”,说明是CS木马。

15个“没节操”的钓鱼攻击,附IoC

在“CS场景检测”模块,还可以看到该样本在情报、静态、网络行为和流量这几方面都呈现了CS相关特征。

15个“没节操”的钓鱼攻击,附IoC
15个“没节操”的钓鱼攻击,附IoC
15个“没节操”的钓鱼攻击,附IoC   15个“没节操”的钓鱼攻击,附IoC

至此,可以确认此样本是CS木马。同时,我们可以使用行为检测、情报检测、配置提取、多维检测、引擎检测、静态分析、动态分析等模块对样本进行进一步分析。

15个“没节操”的钓鱼攻击,附IoC
温馨提示,在演习或日常工作中,如遇邮件或IM钓鱼,或发现可疑文件,都可以上传至微步云沙箱S进行快速分析检测。如果样本不便公开,可在上传时选择隔离样本。

最后附上一些钓鱼情报:

SHA256
文件名
94e1f855be8f5a8477029601f8c44c0c120de8779c812bb86f9f9c3893baa4a9
关于统一2023年度各项社会保险缴费工资基数上下限的通告.rar
f141a7c765f3bd6f80968a934a778bdf4f0267adbec1fd60b448ac1de2c05622
张**简历—1575736**00—计算机(广州)(1).rar
40ef0deec0f87b5abfb6ed3eaa24671c062ae71ca4e9ce61bf97c6c84080fd8c
关于“中***”微信视频号发布短视频的信息说明.exe
7f7990d7caebf089b056555f2e6c6519d58c38e0aa8276322c11175bfa3c987e
关于官网注册后信息有关问题的反馈.exe
cd6ac4b9ad9be2ba5839aef2b1c76ed94ab19722f3e35826eb0fbe704f745aa0
举报信**主管张*彪涉嫌性骚扰.exe
c157dcaf62e026ba3f2bf42db4996de5714165913b6353f20b4ed397df9f3ca6
高温补贴-人员信息收集表.xlsx(请勿外传).exe
d758f2fb9cecf2ef3eb39b23290aedbd8375038f7254434c4f781e095aaf146a
工**部-薪资信息表-马*桐(保密)(解压密码:企业域名).exe
e8d31c5e2967aab4745f9ddc00a31779f004d048de86391b4fbd622ab3269772
java程序员-简历-宋*全.docx.exe
70927bc8f82f9c3af92e907ae6f655bd22215607270055dba1230a3a816b1831
金融**信息系统(FFIS)登录显示系统崩溃问题反馈.rar
4bb74d81e4e09621b7b9f4182899fc372fade3ecd2221bd709efdc37817a3340
附件1:Windows邮件客户端升级教程.exe
eb0139f2fc44ab23afc2a46831a51f754c1467ba95c15c3bddbedda308a9b06f
关于调整北***空基层干部员工2023年7月份绩效考核结果的通知.7z
371e893ea727d7c5a44d3ebe082db98a10912f6b722d1ec5d22071d7535a3af1
“护航**”网络安全专项整治行动方案.zip
5a9930add001fc715b5c93fc1ef49e54cc53642b89fa95cda7d2ada522b50280
99个震惊世界的未解之谜!! .zip
e0304d84391c3aaf0576e40baedfcb50a226820b3f75cfc63570095ab1305a3c
flashplayerpp_install_cn_web.exe
47b8ce7c055af1cb548324aa7d8bd0e0184e4e6dfd69161ab4277b0bb668cdbe
奇*信专杀工具.rar


微步云沙箱S地址:https://s.threatbook.com


· END ·


15个“没节操”的钓鱼攻击,附IoC

戳“阅读原文”,体验微步云沙箱S


原文始发于微信公众号(微步在线):15个“没节操”的钓鱼攻击,附IoC

版权声明:admin 发表于 2023年8月16日 上午8:22。
转载请注明:15个“没节操”的钓鱼攻击,附IoC | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...