欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对马拉维(MALAWI)国民银行的网络攻击样本分析报告

来源:本站整理 作者:佚名 时间:2018-11-30 TAG: 我要投稿

1、概述
近日,安天CERT(安全研究与应急处理中心)在梳理相关安全事件时发现多例对马拉维国民银行(National Bank of Malawi)的钓鱼邮件攻击样本。马拉维共和国(Republic of Malawi)是位于非洲东南部的内陆国家,国土面积11.8万平方公里。截至2017年9月,其全国共计人口2840万人,是非洲撒哈拉沙漠以南人口密度最高的国家之一。其国家经济长期依赖农业出口,政府常年靠举债度日,曾被联合国评为世界上最贫困的国家之一(摘自维基百科),国民银行是其国内最大的商业银行。安天通过对攻击样本和关联线索的综合分析,发现这是一系列以金融机构电子邮件为突破口,通过邮件进行交叉渗透的定向攻击事件。攻击者使用对陈旧漏洞的免杀技巧构造攻击载荷执行入口,而攻击载荷采取对多个开源代码进行改写和重新编译,将二进制远控木马加密嵌入其中,实现内存执行,达到免杀和绕过安全机制的效果。在这一系列攻击事件中,有四家马拉维国民银行的地方分行,成为攻击者的重要目标,其中大南部区(southend)官方客服邮箱已经被攻击者盗用。攻击者利用事先从国民银行部分地区分行盗取的官方邮箱口令,向其他分行工作人员发送带有恶意文档附件的邮件,作为附件的恶意文档利用CVE-2014-6352漏洞[1]发起攻击。此漏洞可以绕过“沙虫”漏洞(SandWorm)补丁MS14-060的安全保护。漏洞利用成功后,样本会执行名为“Target.scr”的可执行程序,该程序由攻击者基于开源代码[2]修改编译生成,攻击者在重写了main函数代码,程序运行时并不会调用开源代码原有的功能函数,而是内存展开执行内嵌的DarkComet远控木马,进而向目标系统发起攻击。

图 1-1攻击流程示意图
1.1 钓鱼邮件详情
钓鱼邮件于马拉维时间2018年10月4日(周四)上午10:43被发送到马拉维国民银行大南部区(southend)客服中心某员工所管理的官方邮箱中(可能由于地理位置紧邻和管理成本问题,大南部区(southend)客服中心并入了利隆圭(Lilongwe)地区分行)。发件人为“Yousef Syda”,是马拉维国民银行萨利马(Salima)分行的员工,初步判断该邮箱已被盗。

图 1-2 钓鱼邮件内容
钓鱼邮件于马拉维时间2018年10月4日(周四)上午10:52被发送到马拉维国民银行松巴(Zomba)分行经理Thomas Chimkowola所管理的官方邮箱中,显示发件人仍为“Yousef Syda”,时间上晚于钓鱼邮件约9分钟。

图 1-3 钓鱼邮件内容
被盗邮箱Yousef Syda 两次发信的IP地址均为185.82.***.***。

图1-4 被盗邮箱的IP地址
两份邮件带有同一标题“MONEY GRAM ACTION PLAN FOR OCTOBER- DECEMBER 2018(2018年10月到12月MoneyGram汇款计划)”,无正文,邮件标题字元集属性为UTF-8,并附有同一恶意文档“MONEY GRAM ACTION PLAN FOR OCTOBER- DECEMBER 2018.ppsx”,该文档使用漏洞CVE-2014-6352[1]进行攻击,该漏洞可绕过“沙虫”漏洞(SandWorm)补丁MS14-060的安全保护。在接收人双击打开ppsx文档后,其会自动开始Slide Show播放模式,触发Verb动作,执行临时目录下释放的恶意代码“Target.scr”。
1.2 被攻击者信息
受害者的邮箱域名natbankmw.com归马拉维国民银行所有[3]。马拉维国民银行成立于1971年,由起源于南非的标准银行(Standard Bank)和英国巴克莱银行DCO(Dominion Colonial Overseas)合并成立,现共拥有850名员工,总部坐落于马拉维的金融和商业中心布兰太尔市(Blantyre)。截至2016年12月,该银行的总资产价值为3140亿MWK(马拉维克瓦查,约合4.4亿美元),是马拉维最大的商业银行[4]。

图 1-5 马拉维国民银行总部建筑(纬度:-15.8 经度:35.0)
截至2018年4月,马拉维国民银行在马拉维全国维持了30多家分行,简称“客服中心”(Service Centers)。但由于银行缺乏资金和运营问题,多地“客服中心”管理混乱。2016年曾经发生巴拉卡(Balaka)地区分行的在职员工监守自盗取走上百万MWK银行存款的事件[5]。此次网络攻击事件也正是首先针对地区分行的薄弱点,盗取分行邮箱向其他分行员工发送钓鱼邮件的典型案例。

图 1-6 此次攻击事件受害者之一,马拉维国民银行利隆圭(Lilongwe)分行

图 1-7 此次攻击事件受害者之一,马拉维国民银行松巴(Zomba)分行

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载