情报速递20240613｜警惕以简历和人事调整为主题的钓鱼攻击

腾讯安全威胁情报中心 · 公众号 · · 2024-06-13 14:35

正文

1.背景

腾讯安全科恩实验室（以下简称“腾讯科恩”）持续基于多源数据的威胁情报分析以及系统自动化方式，追踪捕获基于钓鱼样本的攻击事件。近日腾讯科恩发现以“简历”和“人事调整”为主题的钓鱼攻击活动，呈现增长趋势。

其中，典型的方式为攻击者编写钓鱼木马文件，并将其伪装成WORD、WPS等文档格式的图标，使用相关具有诱导性的主题进行命名后，再利用社交聊天软件向目标人员进行投递，接收文件者一旦点击运行就有可能被安装Cobalt Strike木马、Metasploit木马或其他类型后门程序，导致电脑被远程控制或重要资料被窃取。

捕获钓鱼样本样例：

md5

钓鱼文件名

近期捕获时间

2d155417c6eb044202ec388d843816e6

张*肖个人简历 .exe

2024/5/27 11:13:15

ba8cef2042dde3c0f5ddedb64869ae6d

刘*欣简历-**电子科技大学-计算机科学与技术学院.pdf.exe

2024/5/27 16:59:21

4094b9cd22436238899814591c554d34

个人简历.exe

2024/5/29 10:09:57

0e355aa661e9587f682e6ecdfbdc0ccb

面试简历.exe

2024/6/4 16:43:27

acce1155cc03a607f73ae70893dfd81e

2024年**银行高管及主要部门人员调整、裁员与任命详细名单公告完整版docx.exe

2024/6/5 11:56:05

2aabc1b60e4c2fc528d43cac0020d383

个人简历.exe

2024/6/6 14:40:13

2.技术分析

样本ba8cef2042dde3c0f5ddedb64869ae6d，会使得终端加载Cobalt Strike木马，使用域前置手法与C2server进行通信，域前置Host为tianya.baidu[.]com，C2server地址为https://139.159.204[.]247[:]18443/jquery-3.3.2.slim.min.js

样本4094b9cd22436238899814591c554d34，解密出shellcode并通过EnumSystemLocalesA加载回调的方式执行，下载Cobalt Strike木马的c2server地址为https[:]//www.jianjade.com:2096/jquery-3.3.2.slim.min.js