1 介紹
卡巴斯基於2016年6月監測到了Operation Ghoul(食屍鬼行動)網絡攻擊,Operation Ghoul針對30多個國家的工業、製造業和工程管理機構發起了定向滲透入侵。目前,卡巴斯基發現,有130多個機構已被確認為這類攻擊的受害者。
該攻擊最早可以追溯至2015年3月,值得注意的是,攻擊早期目標多為中小企業涉及金融相關的銀行帳戶和知識產權。
*Ghoul,食屍鬼,阿拉伯傳說中以屍體血肉或幼兒為食的惡魔,今天也為貪婪和物質主義的形容。
2 主要攻擊媒介:惡意郵件
攻擊者以偽造的郵箱地址向受害者發送惡意電子郵件,郵件包含7z格式的惡意附件或釣魚鏈接。下圖為釣魚郵件樣例,內容像是阿聯酋國家銀行相關的付款文件。
惡意附件
在魚叉式釣魚郵件中,7z文件包含一個形如Emiratesnbd_Advice .exe的惡意程序,其MD5哈希值如下:
fc8da575077ae3db4f9b5991ae67dab1
b8f6e6a0cb1bcf1f100b8d8ee5cccc4c
08c18d38809910667bbed747b2746201
55358155f96b67879938fe1a14a00dd6
郵件附件MD5哈希值:
5f684750129e83b9b47dc53c96770e09
460e18f5ae3e3eb38f8cae911d447590
為了竊取核心機密和其它重要信息,這些魚叉式郵件主要發送對象為目標機構的高級管理人員,如:
首席執行官
首席運營官
總經理
銷售和市場營銷總經理
副總經理
財務和行政經理
業務發展經理
經理
出口部門經理
財務經理
採購經理
後勤主管
銷售主管
監督人員
工程師
3 技術細節
惡意軟件功能
攻擊主要利用Hawkeye商用間諜軟件,它能為攻擊者提供各種工具,另外,其匿名性還能逃避歸因調查。惡意軟件植入後收集目標系統以下信息:
按鍵記錄
剪貼板數據
FileZillaFTP服務器憑據
本地瀏覽器帳戶數據
本地消息客戶端帳戶數據(PalTalk、GoogleTalk,AIM…)
本地電子郵件客戶端帳戶數據(Outlook,Windows Live mail…)
安裝程序許可證信息
數據竊取
攻擊者主要用以下方式發送竊取數據:
HTTP方式:
發送至中轉機 hxxp://192.169.82.86
電子郵件方式:
mail.ozlercelikkapi[.]com (37.230.110.53), mail to info@ozlercelikkapi[.]
commail.eminenture[.]com (192.185.140.232), mail to eminfo@eminenture[.]com
ozlercelikkapi[.]com和eminenture[.]com可能屬於被攻擊者前期滲透入侵的製造業和技術行業網站。
惡意軟件指令
惡意軟件通過被入侵的中轉系統192.169.82.86收集受害者電腦信息:
hxxp://192.169.82.86/~loftyco/skool/login.php
hxxp://192.169.82.86/~loftyco/okilo/login.php
4 受攻擊機構信息
攻擊者主要對以下幾個國家的工業領域機構發起滲透攻擊:
Other行列為至少有3個工業機構受到攻擊入侵的國家,其中有:瑞士、直布羅陀、美國、瑞典、中國、法國、阿塞拜疆、伊拉克、土耳其、羅馬尼亞、伊朗、伊拉克和意大利。
受攻擊行業信息
從受害機構行業類型分佈可以看出,攻擊者主要以製造業和工業設備生產機構為主要滲透入侵目標:
2016年6月,最新的攻擊主要集中在以下國家:
其它攻擊信息
攻擊者針對以下操作系統平臺進行:
Windows
Mac OS X
Ubuntu
iPhone
Android
目前惡意軟件的檢測簽名:
trojan.msil.shopbot.ww
trojan.win32.fsysna.dfah
trojan.win32.generic
5 總結
Operation Ghoul 是針對工業、製造業和工程管理機構的網絡攻擊,建議用戶和相關機構:
(1)在查看或打開郵件內容及附件時請務必小心慎重;
(2)為了應對安全威脅,應該針對高級管理人員進行信息安全培訓。
6 IOC威脅指標
惡意軟件相關文件和路徑信息:
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\bthserv.exe
C:\Users\%UserName%\AppData\Local\Microsoft\Windows\BsBhvScan.exe
C:\Users\%UserName%\AppData\Local\Client\WinHttpAutoProxySync.exe
C:\Users\%UserName%\AppData\Local\Client\WdiServiceHost.exe
C:\Users\%UserName%\AppData\Local\Temp\AF7B1841C6A70C858E3201422E2D0BEA.dat
C:\Users\%UserName%\AppData\Roaming\Helper\Browser.txt
C:\Users\%UserName%\AppData\Roaming\Helper\Mail.txt
C:\Users\%UserName%\AppData\Roaming\Helper\Mess.txt
C:\Users\%UserName%\AppData\Roaming\Helper\OS.txt
C:\ProgramData\Mails.txt
C:\ProgramData\Browsers.txt
惡意軟件相關域名:
Indyproject[.]org
Studiousb[.]com
copylines[.]biz
Glazeautocaree[.]com
Brokelimiteds[.]in
meedlifespeed[.]com
468213579[.]com
468213579[.]com
357912468[.]com
aboranian[.]com
apple-recovery[.]us
security-block[.]com
com-wn[.]in
f444c4f547116bfd052461b0b3ab1bc2b445a[.]com
deluxepharmacy[.]net
katynew[.]pw
Mercadojs[.]com
攻擊活動釣魚鏈接:
hxxp://free.meedlifespeed[.]com/ComCast/
hxxp://emailreferentie.appleid.apple.nl.468213579[.]com
hxxp://468213579[.]com/emailreferentie.appleid.apple.nl/emailverificatie-40985443/home/login.php
hxxp://verificatie.appleid.apple.nl.referentie.357912468[.]com/emailverificatie-40985443/home/lo…
hxxp://192.169.82.86/~gurgenle/verify/webmail/
hxxp://customer.comcast.com.aboranian[.]com/login
hxxp://apple-recovery[.]us/
hxxp://apple.security-block[.]com/Apple%20-%20My%20Apple%20ID.html
hxxp://cgi.ebay.com-wn[.]in/itm/2000-Jeep-Wrangler-Sport-4×4-/?ViewItem&item=17475607809
hxxp://https.portal.apple.com.idmswebauth.login.html.appidkey.05c7e09b5896b0334b3af1139274f266b2hxxp://2b68.f444c4f547116bfd052461b0b3ab1bc2b445a[.]com/login.html
hxxp://www.deluxepharmacy[.]net
閱讀更多 A1d2m3i4n5 的文章
