又到了一年一度的社保基数调整时间,本是打工人关心的事情,黑阔也来凑热闹。近期捕获到一批借此主题的社工钓鱼,可恶的是直接投递CS免杀木马。使用的社工技战术包括:发件人伪装,附件压缩,恶意附件,后门安装,心理操纵。
攻击者一般会使用公共邮箱,比如126、163、QQ这类免费邮箱,同时构造发件人显示名为人力资源中心,HRBP,人力资源部,人事部等,给收件人留下一个好的第一印象,骗取信任。
然后使用社工话术,诱导受害人使用密码打开一个rar附件(注意,该组织有时候会加密附件以躲避邮件安全网关检测,有时候则不加密,也并不局限rar,也有zip,7z等格式)。
该附件输入密码解压后,会是一个scr文件(Windows屏保格式),上传沙箱分析后,显示为CS木马。
关联情报IOC为static.wps-cdn.com
再根据此域名IOC关联恶意文件数据,发现几乎都是同一个主题,连文件名都懒得修改,只是文件格式不同,压缩包中释放的文件有PDF,有SCR,有EXE等等,不再赘述。主要集中在4月份,早期样本查杀率比较高,后期做了bypass EDR处理,查杀率较低。
附件可能会释放一个烟雾弹PDF文件,让受害者以为是正经附件,样式如下:
回连C2域名使用了合法服务腾讯云CDN服务,见黄框显示,隐藏真实IP。 而这个地址情报还没有收录,解析IP位于新加坡:
和C2地址相关的域名几乎都是恶意,可以永久封杀主域名了:
利用4月份社保基数调整时间点,合法个人邮箱投递进来免杀木马,回连地址关键词wps-cdn.com,木马工具Cobalt Strike,协议: HTTPS (端口443) ,通信心跳周期: 2000毫秒 ,修改系统自启动项及注册表实现持久化。 后续推测,利用系统信任设置提权,可能通过SMB/RDP横向渗透, 加密通信窃取敏感信息。
注意防范,钓鱼模版已更新到DeepPhish反钓平台。
支持我们,在钓鱼中招前打一针疫苗。
原文始发于微信公众号(无限手套Infinity Gauntlet):【钓鱼情报】借社保基数调整耍花样投递CS木马
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/4008654.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论