1、初始投递
现在的网络安全形势错综复杂,我们近期捕获到多起针对跨境企业的钓鱼攻击,这次是一封针对海外销售人员的Tesla木马钓鱼。该钓鱼谎称采购需求,使用了伪造知名公司域名+密送功能,最终通过邮件把窃取的数据发送给黑客邮箱。使用的技战术包括:发件人伪装,附件压缩,恶意附件,后门安装,合法服务滥用,心理操纵。根据多个平台上的样本上传时间,应该是DP团队全网首次捕获,需要验证己方安全有效性的用户请联系DP官微。
邮件正文如下:
发件人使用了一个合法的公司域名,该公司是一家业内知名企业,但显然不是签名栏展示的SPINA公司,攻击者用错了logo,同时manager拼写错误。下面还展示了GDPR,环保声明等等,戏挺足的。对于安全人员来说,这些都是小把戏,但对于销售来说,极容易对突然而来的采购需求激动不已,在黑客的心里操纵之下轻易打开附件。
传到DeepPhish EML 分析平台跑一下
发件服务器为74.48.108.161
社工话术分析,可以看出端倪
技术特征分析,看出它的发件域名是个加蓬域名。。。。。
2、恶意附件
邮件中有个宣称是采购需求的ISO附件,打开后里面包个exe,为Tesla间谍软件。
Agent Tesla是一款"老牌"恶意软件即服务"MAAS"恶意程序,在过去的几年间,一直保持着较高的活跃度。其主要通过社工钓鱼邮件传播,"商务邮件信"和伪装航运公司钓鱼邮件是该木马经常使用的社工钓鱼方式。通过社工钓鱼方式获取初始访问权限后,作为第一阶段的恶意软件,AgentTesla提供对受感染系统的远程访问,然后用于下载更复杂的第二阶段工具,包括勒索软件。
Agent Tesla是基于.Net的远程访问木马(RAT)和数据窃取程序,旨在窃取用户的敏感信息,如登录凭据、银行账户信息、电子邮件等。其具有强大的远程控制功能,可以通过键盘记录、屏幕截图、摄像头监控等方式监视用户行为。该间谍木马具有反调试功能,同时诱饵文件使用了多层解密,大大增加了分析难度。
3、沙箱行为
该样本并没有使用传统C2,而是把需要的数据通过SMTPS 587加密协议发送给指定邮箱,所谓的"白地址",更增加了检出的难度。邮件主题为PW_%USERNAME%/%COMPUTERNAME%。
其中SMTP服务使用的是俄罗斯知名服务商yandex,主机位于莫斯科,攻击者账户"username": "info@ocean-automation-com.gq", "password": "marcellinus360"}
收件服务依然是在yandex
其他不再赘述,附上VT地址
https://www.virustotal.com/gui/file/b13deb3b7c44eeefd0be3b6c4fec36248740a83a8dc7b75cfa7b9a39b05b6a30
4、总结
对出海的企业来讲,为了更好的邮件送达率,往往采用一些(国外的)云邮箱服务,很多安全措施是依赖于供应商自身的邮件安全能力,并不能完全自主,这个时候员工的安全意识是否够强,就更为重要了。
同时也提醒了我们,在做网络检测的时候,不仅要关注C2反连,还要关注与外界的异常邮件通信,尤其是出站587 465 25这几个端口,不妨通过主机防火墙设置白名单仅允许访问公司邮箱服务器地址的相关端口。对于复杂庞大的办公网来说,无论是大企业还是中小企业,海外的网络并不方便充分部署安全产品,关注钓鱼预警就更能有的放矢了。
各企业员工注意防范,钓鱼邮件模版已更新到DeepPhish反钓训练平台。
-
EML分析工具:deepphish.cn/eml
-
反钓鱼训练平台:deepphish.cn/apt