疑似蔓靈花APT團伙釣魚郵件攻擊分析

背景

近期，360安全監測與響應中心協助用戶處理了多起非常有針對性的郵件釣魚攻擊事件，發現了客戶郵件系統中大量被投遞的釣魚郵件，被攻擊的企業局限於某個重要敏感的行業。360威脅情報中心與360安全監測與響應中心在本文中對本次的釣魚郵件攻擊活動的過程與細節進行揭露，希望企業組織能夠引起重視採取必要的應對措施。

釣魚攻擊過程

釣魚騙取企業內某用戶郵箱密碼

上個月某一天，某敏感工業企業郵箱用戶收到一份發自mailservicegroup[@]http://126.com的釣魚郵件，釣魚郵件仿冒企業的信息技術中心通知目標用戶，聲稱其郵件賬戶登錄異常，並提示通過「安全鏈接」驗證郵件賬戶：

如果用戶訪問了該鏈接會被攻擊者收集郵箱用戶名以及密碼，釣魚頁面觀感上與企業的郵箱登錄頁面高度一致，如果不仔細看對應的URL非常容易上鉤。相關釣魚鏈接：

mail.[被釣魚企業域名].cn.url.cpasses.char.encoding-http-blog.index.frontend.jtjs.subdomain.alert.check.random-security.018745ssss.url.0j0i67k1j0i131k1j0i20i263k1.0.yqzbceh5jue.enc.http.checksum.webaccess.alert.check.verify.fozanpharma.com

通過騙取的用戶郵箱賬號向其它用戶發送帶有病毒附件的郵件

隨後，攻擊者會利用收集到的企業郵箱賬戶向企業內其他用戶發送帶有病毒附件的郵件，並誘導用戶執行病毒附件。由於使用了釣魚獲取的真實企業郵箱賬戶，看起來來源可信的郵件非常容易導致其它企業郵箱用戶被誘導執行惡意附件。

攻擊者分別發送偽裝成Office Word文檔圖標和JPG圖片的兩個病毒樣本，並在文件名中加入大量空格以防止目標用戶發現文件後綴，從而誘導用戶打開執行：

實際上為可執行程序：

惡意代碼分析

惡意附件分析

偽裝為Office Word文檔和JPG圖片的病毒附件最終釋放執行相同的木馬後門，我們選擇偽裝為Office Word文檔的樣本進行分析：

病毒附件Technical Points for review.exe是使用WinRAR生成的自解壓程序，該自解壓程序的運行邏輯為：在C:intellogs目錄下釋放mobisynce.exe及一個與樣本相同名稱的正常Office Word文檔，然後執行EXE病毒文件同時打開Office Word文檔以迷惑受攻擊者：

病毒附件執行邏輯：

打開的誘餌文檔內容：

mobisynce.exe分析

偽裝成Office Word文檔的病毒程序最終會在C:intellogs目錄下釋放執行mobisynce.exe，mobisynce.exe運行後首先會對程序中的加密字元串通過與單位元組秘鑰相加解密出需要使用的字元串：

緊接著查找當前進程列表名中是否有包含」avg」字元串的進程來判斷是否存在avg相關的殺毒軟體：

如果不存在與avg相關的殺軟進程，則創建新線程，並在該線程中判斷是否存在註冊表啟動項「HKCUSoftwareMicrosoftWindowsCurrentVersionRunigfxmsw」，以此避免重複執行後續的後門功能，如果不存在該註冊表項，則創建後門進程並通過管道的方式接收執行後續的攻擊者指令：

創建註冊表啟動項「HKCUSoftwareMicrosoftWindowsCurrentVersionRunigfxmsw」，並設置mobisynce.exe為自啟動：

最後，mobisynce.exe嘗試連接C&C控制伺服器：http://wingames2015.com

如果連接成功則開始搜集系統信息並拼裝成HTTP GET請求，發送到C&C伺服器的ldtvtvqs/accept.php?頁面：

發送的受害主機信息：

GET請求中的各參數含義：

最後，mobisynce.exe會循環監聽執行後門命令，具體邏輯為當C&C伺服器向木馬發送含有」Yes file」字元串的指令時，木馬會在指令中提取」[」與」]」中間的命令，並通過ShellExcuteA函數執行該命令：

根據360網路研究院的大網數據，對於http://wingames2015.com C&C域名訪問在2018年1月3日達到過一個高峰，暗示在這個時間點攻擊者曾經發動過一大波攻擊：

溯源和關聯

釣魚URL域名信息

釣魚鏈接根域名： http://fozanpharma.com

IP地址： 104.219.248.10

IP歸屬地：美國亞利桑那州鳳凰城

域名創建時間：2017-09-22 14:57:32

域名過期時間：2018-09-22 14:57:32

域名更新時間：2017-09-22 14:57:33

http://fozanpharma.com下的其它釣魚鏈接

經過後期關聯分析，360威脅情報中心與360安全監測與響應中心發現同一域名下針對我國其他三個組織機構的釣魚郵箱鏈接：

與蔓靈花APT團伙的關聯分析

360公司曾在2016年11月發布了《中國再次發現來自海外的黑客攻擊：蔓靈花攻擊行動》（詳見參考資料[1]），360威脅情報中心隨後發現，偽裝為JPG圖片的病毒樣本所釋放的誘餌圖片文件也被披露的蔓靈花APT組織使用過：

並且在後門程序mobisynce.exe中使用的查找avg殺軟的相關代碼片段與蔓靈花APT組織使用的惡意代碼中的代碼片段也高度一致：

考慮到我們在背景描述中描述的攻擊者動機等因素，我們推測本次的攻擊者或與蔓靈花APT團伙可能相關，但目前來看證據還不夠充分，希望安全社區來共同完善拼圖。

總結

從此次攻擊者實施的釣魚郵件攻擊來看，攻擊者顯然嘗試利用受害企業員工對信息安全的重視（提示用戶郵箱登錄異常），並使用最簡單的欺騙手法嘗試收集員工企業郵箱的用戶名密碼，再利用正規企業用戶郵箱的信任關係發動第二次釣魚攻擊，希望滲透企業員工的計算機系統以獲取了相關敏感信息。

360安全監測與響應中心再次提醒各企業用戶，加強員工的安全意識培訓是企業信息安全建設中最重要的一環，如有需要，企業用戶可以建設態勢感知，完善資產管理及持續監控能力，並積極引入威脅情報，以儘可能防禦此類攻擊。

IOC

參考資料

[1] https://www.anquanke.com/post/id/84910

登錄安全客 - 有思想的安全新媒體www.anquanke.com/，或下載安全客APP來獲取更多最新資訊吧~

推薦閱讀：