腾讯安全科恩实验室(以下简称“腾讯科恩”)持续基于多源数据的威胁情报分析以及系统自动化方式,捕获可疑钓鱼样本。近期捕获的样本类型,包括“银狐”家族样本文件,攻防演练样本文件以及其他类型钓鱼文件。后续,腾讯科恩将不定期公开部分捕获到的相关样本,与提取到的部分IOC,以供企事业单位进行安全防护排查与安全分析人员进行参考研判。
在5月27日系统告警信息中,腾讯科恩捕获到一个名为《广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.zip》的钓鱼攻击文件样本。该文件疑似用于针对某金融机构的定向攻击。通过进一步的分析,可以识别到该样本母体加载了Cobalt Strike木马,并通过云函数进行C2转发。结合其他已分析的相关样本特点,以及关联情报数据进一步挖掘,最终判断该钓鱼文件是用于攻防演练的样本文件。
| 钓鱼文件 |
广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.zip |
| 解压文件 |
广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.exe |
| md5 |
7a30f2837509da7e532be266e1d2656d |
| 样本类型 |
Win64 Executable |
| 样本大小 |
7711744字节 |
| 发现时间 |
2024-05-27 15:47:31 |
| 样本图标 |
![利用云函数转发C2的Cobalt Strike钓鱼样本]( "情报速递20240530|利用云函数转发C2的Cobalt Strike钓鱼样本") |
样本自实现木马加载过程,入口处检测到沙箱环境会直接退出:
![利用云函数转发C2的Cobalt Strike钓鱼样本]( "情报速递20240530|利用云函数转发C2的Cobalt Strike钓鱼样本")
通过大量无效指令对代码进行混淆:
![利用云函数转发C2的Cobalt Strike钓鱼样本]( "情报速递20240530|利用云函数转发C2的Cobalt Strike钓鱼样本")
![利用云函数转发C2的Cobalt Strike钓鱼样本]( "情报速递20240530|利用云函数转发C2的Cobalt Strike钓鱼样本")
Shellcode最终加载Cobalt Strike木马,通过Cobalt Strike配置文件可以看到,样本请求C2时通过云函数service-hzdzk12c-1318485841.gz.api**[.]****cs[.]com进行转发:
![利用云函数转发C2的Cobalt Strike钓鱼样本]( "情报速递20240530|利用云函数转发C2的Cobalt Strike钓鱼样本")
通过多源威胁情报关联分析,结合样本及攻击流程中的相关技术特点,腾讯科恩高度怀疑此次钓鱼攻击为攻防演练行为。
| 7a30f2837509da7e532be266e1d2656d |
| https[:]//service-hzdzk12c-1318485841.gz.api**.****cs[.]com:443 |
原文始发于微信公众号(腾讯安全威胁情报中心):情报速递20240530|利用云函数转发C2的Cobalt Strike钓鱼样本
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/2795110.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论