网络钓鱼电子邮件的拇指规则是他们更加个性化,它们越有效。但是,个性化是昂贵的,无论是在必要的研究和准备高度针对性的恶意电子邮件方面。疗效和成本之间的权衡一直是攻击者的制约因素。不幸的是,校验点最近观察到一个似乎找到了一种展示矛网络钓鱼方式的演员。最近的一项研究成功的鱼叉式网络钓鱼活动的平均成本为160万美元鱼叉式网络钓鱼成为规范而不是异常值,数学变得相当吓人的目标组织。
自2016年1月以来,Proofpoint一直在追踪一名以TA530为身份的经济动机威胁者,该威胁者的目标一直是高管和其他高层员工,通常是通过专门针对某个特定垂直领域的活动。例如,目标受害者的头衔通常是首席财务官、财务主管、高级副总裁、董事和其他高级职位。
此外,TA530通过在电子邮件正文,主题和附件名称中指定目标的姓名,职位,电话号码和公司名称,通过指定目标的姓名,职位,电话号码和公司名称,将电子邮件定制到每个目标。在若干场合,我们核实这些细节对于预期的受害者来说是正确的。虽然我们不知道这些细节的来源,但它们经常出现在公共网站上,例如LinkedIn或公司自己的网站。定制与诱饵没有结束;广告系列中使用的恶意软件也由地区和垂直定位。
虽然这些活动不接近例如在大量随机收件人之后的Dridex和锁定爆炸的大小,但Ta530向美国,英国和澳大利亚组织的收件人发送了大约三分之一的个性化信息。这些攻击相对于其他选择性或矛网络钓鱼活动非常庞大。
我们观察到TA530有时只针对特定的、狭窄的垂直区域,如零售和酒店。在其他时候,宣传活动似乎更广泛。总的来说,针对每个垂直方向的消息量如下所示:
图1:主要目标行业
恶意软件阿森纳
除了有针对性和个性化的方法外,我们发现TA530能够访问必要的基础设施,并试图交付和安装以下主要的恶意软件有效负载。
- Ursnif ISFB-银行木马配置为针对澳大利亚银行
- Fileless Ursnif / RecoLoad- 销售点(POS)侦察特洛伊木马针对零售和热情好客。它是2015年7月的Kafeine的博客[1]中的首次推出,这表明自2014年以来一直在分配;不久之后,通过趋势科技更详细地描述了它的描述[2]。
- 微型装载机-下载使用的战役,以零售和酒店垂直。我们没有观察到它下载二次有效载荷,但以前它被用来下载恶意软件,如AbaddonPOS[3]。
- TeamSpy / TVSpy- RAT利用Teamviewer[4],主要针对零售和酒店
- Cryptowall.-文件加密勒索软件针对各种公司
- Nymaim- 安装银行木工特洛伊木马[5]主要针对金融公司
- 222年Dridex僵尸网络- 与英国瞄准的银行木偶僵尸网络。校对点首先在2016年1月在卧室滴下时观察到这个僵尸网络[6]
TA530也使用了额外的中间加载器,如H1N1加载器和烟雾加载器。
活动
我们注意到的一个趋势是,面向pos的有效载荷(TinyLoader和Fileless Ursnif)和TVSpy针对的是零售和酒店公司,而银行和勒索软件的有效载荷针对的是更广泛的公司。然而,在每一个案例中,它们仍然主要针对高价值员工。
图2:无文件Ursnif的广告活动主要针对零售和酒店行业
在一封针对一家零售公司的电子邮件中,我们看到TA530试图感染一位经理。在这条特定的信息中,行动者使用目标的姓名、电话号码和他们工作的公司,使用该地点的实际地址“报告”在其中一个零售地点发生的事件。如果目标要打开附件(图3),并且启用了宏,那么它将通过运行WMI命令来启动Powershell,并使用从字节数组下载和启动Fileless Ursnif有效负载的命令来感染用户(图4)。
图3:用于交付无文件Ursnif的示例文档
图4:宏用于文档服务无文件Ursnif
在最近的最近示例中,我们看到消息指定公司名称,联系人的姓名(图6和7),甚至是公司的联系人(图6)。同样,附件是包含宏的单词文档(图8),但在这种情况下,文档只需下载并运行可执行文件。在这些示例中,交付的有效载荷是nymaul。我们已经观察到利用Ursnif进行银行注射的Nymaum。它看起来是为了感染与公司代表公司与银行网站互动的机会更高的员工。类似的电子邮件(图9)也已被用于分发URSNIF的实例,该实例将澳大利亚银行站点带有Web注入。
图5:Nymaim银行木马主要针对金融服务
图6:传递Nymaim的电子邮件示例
图7:传递Nymaim的电子邮件示例
图8:用于交付Nymaim的示例文档
图9:发送Ursnif ISFB的电子邮件示例
在这里我们看到另一封类似的邮件(图10),目标是一位人力资源主管,除了这封邮件是针对一家英国公司和附件文件(图11)导致安装Dridex僵尸网络222。Dridex 222 web注入/重定向主要配置为英国目标。
图10:发送Dridex 222的电子邮件示例
图11:用于交付Dridex 222的示例文档
在最后一个示例中,我们看到了使用公司名称和联系人名称传递恶意文档的个性化电子邮件(图13)(图14)。在这种情况下,交付的有效载荷是CryptoWall。该活动的目标是跨多个垂直领域的管理人员或更高级别的雇员(图12),由于有效载荷是一个勒索软件,因此加密有价值的文件的可能性更高。
图12:加密墙目标
图13:发送CryptoWall“crypt5028”的电子邮件示例
图14:示例电子邮件发送Cryptowall“Crypt5028”
我们还观察到TA530使用类似的个性化电子邮件来分发恶意链接以及附加JavaScript下载器的消息。虽然我们观察到TA530使用的信息没有个性化,但这不是大多数此类活动的标准。
结论
根据我们在TA530的这些例子中看到的情况,我们希望这个参与者继续使用个性化和多样化的有效载荷和交付方法。有效载荷的多样性和性质表明,TA530是代表其他参与者交付有效载荷的。电子邮件信息的个性化并不是什么新鲜事,但这个参与者似乎已经整合并自动化了高水平的个性化,以前在垃圾邮件活动中从未见过如此大规模的个性化。
这些技术不太可能最终限于TA530。相反,我们希望随着演员学会有效地从LinkedIn等公共场所收获公司数据,潜在地使他们的竞选更有效地收获公司数据的增加程度。这是我们一直看到恶意软件和Ippostor威胁前方的活动类型的自然扩展,并且一如既往地加强了对安全电子邮件网关解决方案和正在进行的用户教育的需求。10bet中文网
参考文献
[1]http://malware.dontneedcoffee.com/2015/07/a-fileless-ursnif-doing-some-pos.html
[3]//www.road2fusion.com/us/threat-insight/post/AbaddonPOS-A-New-Point-Of-Sale-Threat-Linked-To-Vawtrak
[4]https://www.damballa.com/tvspy-threat-actor-group-reappears/
[5]//www.road2fusion.com/us/what-old-new-again-nymaim-moves-past-its-ransomware-roots-0
[6]//www.road2fusion.com/us/threat-insight/post/New-Year-More-Dridex
妥协的指标
| E099D716B97B694468E99419E62151A11AC2AD4858677C3FAA1FB31C68D4FE50 | SHA256 | CryptoWall / H1N1加载程序文档 |
| 408年a53621f34427388c71c7343544e9794a0c1d85fcada4c3cbf2fbd39801ec7 | SHA256 | Dridex 222文档 |
| c0407c207b17179241ddd1ac38cd57de3e2bb4bd1c1e6e093af9ffcd87f28fab | SHA256 | Au Ursnif文件 |
| 4D0C14EDFA616C0A5618B312F5CA90B3A29188288F35C5D8C1C2AE37EF11371F | SHA256 | Nymaim文档 |
| 30 cd5d32bc3c046cfc584cb8521f5589c4d86a4241d1a9ae6c8e9172aa58ac73 | SHA256 | Fileless Ursnif文档 |
| 20338201EA3CBB697DD74AC709CF2574E5FEEDBE6306592706AA8C276C8BF40C | SHA256 | CryptoWall散列 |
| A0EF6BD2842658695BE4F1F84F0C62D010A8AA406E3A31E9DE5EF8662A058D80 | SHA256 | H1N1装载机散列 |
| B1ACB11DBEDD96763EE00DD15CE057E32590D8C42CFA768A50A | SHA256 | NeutrinoBot散列 |
| BCDB7ED813D0D33B786AE1A4DFA09A2CB3A0B61CE1BB8DB01DBDF7D64EC4B4A0 | SHA256 | 小马哈希 |
| 21 b96966db9395c123c4620fd90c142f6080dba038bd65f6a418293ba3104816 | SHA256 | TinyLoader散列 |
| affa76507118deef34d20a9dde224fbce7bdcf5633e7ff529e5b291cfc2bce8c | SHA256 | SmokeLoader散列 |
| E70E34FB85894D27E0711F562D57B9D126C4BB22A62454CC38F39FC3CD2C37D | SHA256 | TVSpy散列 |
| 92年bb0544f1ad7661bf2a77f5305ec439b10fb005cca3545faec2b8de5887110e | SHA256 | Dridex 222散列 |
| 2CBA464F6454B598809063E58Beed60d7a322f87720567997dda5f685ec5936a | SHA256 | 非盟Ursnif散列 |
| A51BE357ABB2BB1CDF977EBE05BEEB85943FAEFDA16855F0345EDFEE915C0CDB | SHA256 | Nymaim散列 |
| d6b818c6ed3fd3be9f113d19cde7e43a2d4d46c2377ee91236986342ec00a828 | SHA256 | Fileless Ursnif散列 |
订阅校对点博客