借助冠状病毒疫情发起的钓鱼攻击事件监测

Le想安全 · 公众号 · · 2020-02-09 08:00

正文

一、概述

2020年1月底，监测到互联网上的部分邮件、社交网络内在传播一些命名为“冠状”、“冠状病毒预防”、“肺炎病例”的文件，此类文件通过和疫情相关的介绍文字诱导用户点击打开。经研判发现部分文件为电脑远控程序。通过调查确认为部分黑客组织制造并根据近期疫情情况利用大众心理学传播带有“冠状”、“病毒预防”、“肺炎病例”等热门字样的病毒文件。受害者通过邮件、社交网络接收文件并运行后，可导致电脑被控、个人文件被窃取等危害。

经过分析，此次攻击传播通过邮件、社交网络传播。社交网络成为该病毒传播的主要渠道，攻击团伙使用的病毒伪装成“冠状病毒”、“逃离武汉”、“新型冠状肺炎”等诱饵词汇，利用人们对疫情的关注心理，构造相关传播文字在 qq 群、论坛等传播诱导用户下载并打开文件。

此次攻击样本具有如下特征：

1、该系列中有些样本具有典型的远程控制、信息窃取的特征，具有键盘记录、电脑截屏、信息窃取等功能，在跟踪过程中会发现会频繁更新 C2 地址；

2、部分典型样本会释放正规远程控制软件 TeamViewer，TeamViewer 软件因自身的白名单签名机制成功躲避了绝大多数杀毒软件的查杀。利用 TV 的远程功能获取关键信息，并发送到黑客预设的 C2 服务器，从而达成远程控制的目的；

截止2020年2月5日，虽然部分样本文件已被主流杀软识别告警，但是通过近一周的监控，此类攻击文件仍在互联网内在进行传播。仍需持续跟踪。

二、基于规则事件监测

2.1 新冠状病毒恶意软件域名检测-202.58.105.80监测

截止2020年2月5日13时，监测发现来自上海市IP（61.151.xx.xx）多次访问新冠状病毒恶意软件控制端IP地址202.58.105.80，应该已经遭受借助冠状病毒疫情的钓鱼攻击，被攻击者远程控制。

2.1.1 攻击时间

从2020年2月4日15时至2月5日13时

2.1.2 攻击方式

攻击者通过将远控木马伪装成例如新型冠状病毒肺炎病例全国已5名患者死亡；新型肺炎病毒等敏感字信息文件，诱导用户下载并打开文件，然后对目标机器进行远程控制。回联境外服务器IP地址202.58.105.80，TCP端口号： 5073。

2.1.3 攻击目标（61.151.x.x）

对受害IP进行定位如下：

2.1.4 攻击者画像

对攻击者IP（202.58.105.80）进行分析发现该IP一直处于活跃状态且被多次标记为恶意、远控、后门等，同时存在多个恶意样本。

三、样本分析

3.1 相关信息

通过自有监测手段及友商披露信息，收集到此次攻击中黑客团伙使用的相关文件描述信息如下:

样本 MD5:

e0a06ffa6802422a33208abd6c06a892

a30391c51e0f2e57aa38bbe079c64e26

674805b536e872a7b6412711699ee44f

C2域名

9.wqkwc.cn

202.58.105.80:5073

诱饵文件名:

新型冠状病毒肺炎病例全国已 5 名患者死亡；警惕！！ .exe

今晚菲出现购口罩狂潮，商店门口围满了人.exe

新型冠状肺炎袭击菲律宾，已确诊病例七人.com

新型冠状病毒防护通知手册.exe

冠状病毒.exe

新型冠状病毒预防通知.exe

双重预防机制.scr

新型冠状病毒肺炎.exe

疫情防控投入.exe

3.2 典型样本分析

通过对互联网监测平台捕获的文件分析，大部分传播的文件具有标准的远控功能，某个典型样本文件具体逆向分析如下:

0x00 基本信息

家族	Backdoor.Win32.Farfli.bpkh
MD5	a30391c51e0f2e57aa38bbe079c64e26
SHA1	6d3eb564ce84894446da0f8d86cf9b4237ca374d
SHA256	22be9e61719c32f1f3b1903f5f6232a81f0a4fd44a895710d5d13c5e26e41cae
大小	1712252 字节
样本类型	PE32 executable (GUI) Intel 80386, for MS Windows