欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对美国金融服务组织发动攻击:MINEBRIDGE恶意样本分析

来源:本站整理 作者:佚名 时间:2020-02-17 TAG: 我要投稿

在2020年1月,FireEye连续观察到多个有针对性的网络钓鱼活动,这些恶意活动的最终目的是下载并部署MINEBRIDGE后门。此次恶意活动的目标主要针对美国的金融服务组织,这一范围比我们此前使用FireEye产品进行遥测所获得的结果要更为广泛。我们观测到,攻击者曾针对韩国的组织发动攻击,其中涉及到一家营销机构。
在这些恶意活动中,攻击者精心制作了网络钓鱼的文档,并且利用了一些公开记录的文件。但根据我们的经验,此次攻击所使用的TTP并不常见,这可能是为了降低恶意文档中的宏代码被检测出来的概率。攻击者还在多次攻击中使用了自托管的电子邮件营销解决方案。值得关注的是,在这些恶意活动中使用的Payload,其加壳工具与之前我们发现的某个威胁参与者相关联,我们将在后面进行详细讨论。
本文主要分析这些恶意活动的主题及目标,说明攻击者所采用的独特攻击手法,对MINEBRIDGE后门(C++)进行分析,揭示一些潜在的关联性。最后,通过种种蛛丝马迹,我们发现威胁参与者对说唱音乐表现出不同寻常的喜爱。
发现恶意活动
我们在2019年12月首次发现了MINEBRIDGE恶意样本,并在2020年1月初首次观察到与该恶意活动相关的网络钓鱼活动。为了开展此次攻击,攻击者专门注册了与邮件内容相一致的域名,并使用这些域名上的邮件地址发送网络钓鱼信息。
攻击者可能正在使用名为Acelle的自托管电子邮件营销解决方案。在通过Acelle平台发出的电子邮件中,都会添加格式为“X-Acelle-
我们发现,在全部恶意活动中,都使用了相同的TTP,即“Customer-Id”值均为“X-Acelle-Customer-Id: 5df38b8fd5b58”。除了这个值之外,在我们所观察到的全部恶意活动中,还具有相同的“X-Acelle-Sending-Server_Id”和“X-Acelle-Campaign-Id”值。所有消息都包含一个“List-Unsubscribe”标头,该标头提供了一个托管在45.153.184.84的链接,说明这个服务器是网络钓鱼活动所使用的Acelle服务器。我们发现的样本详细信息如下。
时间戳:2020年1月7日 16:15
发件人:info@rogervecpa.com
标题:tax return file
x-acelle-subscriber-id:25474792e6f8c
x-acelle-sending-server-id:5e14a2664ffb4
x-acelle-customer-id:5df38b8fd5b58
x-acelle-campaign-id:5e14a2664ffb4
时间戳:2020年1月7日 15:59
发件人:info@rogervecpa.com
标题:tax return file
x-acelle-subscriber-id:22e183805a051
x-acelle-sending-server-id:5e14a2664ffb4
x-acelle-customer-id:5df38b8fd5b58
x-acelle-campaign-id:5e14a2664ffb4
时间戳:2020年1月7日
发件人:info@rogervecpa.com
标题:tax return file
x-acelle-subscriber-id:657e1a485ed77
x-acelle-sending-server-id:5e14a2664ffb4
x-acelle-customer-id:5df38b8fd5b58
x-acelle-campaign-id:5e14a2664ffb4
时间戳:2020年1月7日 16:05
发件人:info@rogervecpa.com
标题:tax return file
x-acelle-subscriber-id:ddbbffbcb5c6c
x-acelle-sending-server-id:5e14a2664ffb4
x-acelle-customer-id:5df38b8fd5b58
x-acelle-campaign-id:5e14a2664ffb4
恶意文档所请求的URL与恶意活动中交付最终MINEBRIDGE Payload的URL具有重合,这些域名都使用相同的托管安全防护服务。用于下载最终Payload的URI是“/team/invest.php”或“/team/rumba.php”。在这里,我们发现了一个最有趣的相似点。在大多数情况下,如果我们对这些域名的父目录“/team/”发出GET请求,将会返回Onyx乐队的“Bang 2 Dis”歌词。由于这一返回内容非常明确,我们在这里就不具体展现歌词的内容。
综合来看,这一系列恶意活动所注册的域名相同、诱饵内容相同、恶意文档宏代码相同,并且钓鱼邮件的主题相同。自首次发现相关恶意活动以来,我们已经先后发现了3次不同的攻击活动。
攻击活动1:2020年1月7日 – 税收相关主题
· 在这一系列攻击中,攻击者使用了在2019年11月下旬注册的CPA相关域名rogervecpa.com,向目标用户发送标题为“Tax Return File”的电子邮件,在邮件正文中包含与IRS相关的文本。
· 邮件附带的Payload经过精心设计,仿冒成与H&R Block相关的报税表格。
· 该攻击活动所针对的目标是金融部门。


攻击活动2:2020年1月8日 – 营销相关主题
· 在这一系列攻击中,攻击者使用了在2019年11月下旬注册的CPA相关域名rogervecpa.com和pt-cpaaccountant.com,后一个域名同样是在2019年11月下旬注册。
· 该钓鱼邮件的标题和正文主要提供虚假的营销合作机会。
· 邮件附带的Payload使用了通用的主题,以图片方式诱导用户启用宏内容。
· 该攻击活动主要针对韩国的营销机构。


攻击活动3:2020年1月28日 – 招聘相关主题
· 在这一系列攻击中,攻击者使用了多个不同的电子邮件地址发送钓鱼邮件,这些邮箱地址都使用了与招聘主题相关的域名agent4career.com,该域名在2020年1月20日注册。

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载