专栏名称: 腾讯安全威胁情报中心
御见威胁情报中心,是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑,帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。
目录
相关文章推荐
51好读  ›  专栏  ›  腾讯安全威胁情报中心

情报速递20240613|警惕以简历和人事调整为主题的钓鱼攻击

腾讯安全威胁情报中心  · 公众号  ·  · 2024-06-13 14:35

正文

1.背景

腾讯安全科恩实验室(以下简称“腾讯科恩”)持续基于多源数据的威胁情报分析以及系统自动化方式,追踪捕获基于钓鱼样本的攻击事件。近日腾讯科恩发现以“简历”和“人事调整”为主题的钓鱼攻击活动,呈现增长趋势。

其中,典型的方式为攻击者编写钓鱼木马文件,并将其伪装成WORD、WPS等文档格式的图标,使用相关具有诱导性的主题进行命名后,再利用社交聊天软件向目标人员进行投递,接收文件者一旦点击运行就有可能被安装Cobalt Strike木马、Metasploit木马或其他类型后门程序,导致电脑被远程控制或重要资料被窃取。


捕获钓鱼样本样例:

md5

钓鱼文件名

近期捕获时间

2d155417c6eb044202ec388d843816e6

张*肖个人简历 .exe

2024/5/27 11:13:15

ba8cef2042dde3c0f5ddedb64869ae6d

刘*欣简历-**电子科技大学-计算机科学与技术学院.pdf.exe

2024/5/27 16:59:21

4094b9cd22436238899814591c554d34

个人简历.exe

2024/5/29 10:09:57

0e355aa661e9587f682e6ecdfbdc0ccb

面试简历.exe

2024/6/4 16:43:27

acce1155cc03a607f73ae70893dfd81e

2024年**银行高管及主要部门人员调整、裁员与任命详细名单公告完整版docx.exe

2024/6/5 11:56:05

2aabc1b60e4c2fc528d43cac0020d383

个人简历.exe

2024/6/6 14:40:13


2.技术分析

样本ba8cef2042dde3c0f5ddedb64869ae6d,会使得终端加载Cobalt Strike木马,使用域前置手法与C2server进行通信,域前置Host为tianya.baidu[.]com,C2server地址为https://139.159.204[.]247[:]18443/jquery-3.3.2.slim.min.js


样本4094b9cd22436238899814591c554d34,解密出shellcode并通过EnumSystemLocalesA加载回调的方式执行,下载Cobalt Strike木马的c2server地址为https[:]//www.jianjade.com:2096/jquery-3.3.2.slim.min.js


样本0e355aa661e9587f682e6ecdfbdc0ccb,会 执行Metasploit木马,连接C2地址为175.178.9[.]139[:]2333,从shellcode中使用的十六进制参数对应的十进制数值可以映射出C2地址,对应关系为:

091D=2333

AF=175







请到「今天看啥」查看全文


推荐文章
悦读文摘  ·  天资不足,苦功补足
8 年前
江南晚报  ·  今天鸿山成了全市最热闹的地方,不少人来了还中到了奖!
8 年前
新闻广角  ·  【实拍】惠安:时髦女怀孕九月,在路边做羞羞事!
8 年前
硕士博士读书会  ·  老兵忆1979年中越战争
8 年前
THLDL领导力  ·  大势所趋,中小企业进入资本市场的最佳时机已到!
8 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!