今年的疯狂十四天一开始,就有师傅收到一份特殊简历——疑似包含钓鱼木马。
微步云沙箱S分析了上面的样本,结果证实,这次属于钓鱼攻击。
还在拉扯人马的防守队伍,人要被钓成翘嘴了,上述攻击手段在最近的演习中屡见不鲜。演习进入第二周,微步云沙箱S捕获了数百个针对性的钓鱼文件,其中多数是CobaltStrike(以下简称CS)木马。
在这些钓鱼攻击中,攻击队使用了各种迷惑性的主题,如简历、零日、安全工具、吃瓜、骚扰、曝光、补贴、通知、问题反馈、绩效考核、薪资等,钓鱼方向和社工高度相关。
比如,这是其中一个试图以社保信息为饵,进行钓鱼攻击的案例。
在这个钓鱼攻击中,攻击队伪装人力资源部,向目标发送社保相关“通告”,引诱目标打开恶意附件。附件是一个加密压缩包,包含一个图标伪装文档的恶意可执行文件,为了迷惑受害者,打开之后会出现一个看上去像那么回事的文档,文档内容和邮件主题内容呼应,简直做戏做全套。
对附件进行分析后,可以看出场景标签包含“CobaltStrike检测”,说明是CS木马。
在“CS场景检测”模块,还可以看到该样本在情报、静态、网络行为和流量这几方面都呈现了CS相关特征。
至此,可以确认此样本是CS木马。同时,我们可以使用行为检测、情报检测、配置提取、多维检测、引擎检测、静态分析、动态分析等模块对样本进行进一步分析。
温馨提示,在演习或日常工作中,如遇邮件或IM钓鱼,或发现可疑文件,都可以上传至微步云沙箱S进行快速分析检测。如果样本不便公开,可在上传时选择隔离样本。
最后附上一些钓鱼情报:
|
|
|
|
94e1f855be8f5a8477029601f8c44c0c120de8779c812bb86f9f9c3893baa4a9
|
关于统一2023年度各项社会保险缴费工资基数上下限的通告.rar
|
|
f141a7c765f3bd6f80968a934a778bdf4f0267adbec1fd60b448ac1de2c05622
|
张**简历—1575736**00—计算机(广州)(1).rar
|
|
40ef0deec0f87b5abfb6ed3eaa24671c062ae71ca4e9ce61bf97c6c84080fd8c
|
关于“中***”微信视频号发布短视频的信息说明.exe
|
|
7f7990d7caebf089b056555f2e6c6519d58c38e0aa8276322c11175bfa3c987e
|
|
|
cd6ac4b9ad9be2ba5839aef2b1c76ed94ab19722f3e35826eb0fbe704f745aa0
|
|
|
c157dcaf62e026ba3f2bf42db4996de5714165913b6353f20b4ed397df9f3ca6
|
高温补贴-人员信息收集表.xlsx(请勿外传).exe
|
|
d758f2fb9cecf2ef3eb39b23290aedbd8375038f7254434c4f781e095aaf146a
|
工**部-薪资信息表-马*桐(保密)(解压密码:企业域名).exe
|
|
e8d31c5e2967aab4745f9ddc00a31779f004d048de86391b4fbd622ab3269772
|
|
|
70927bc8f82f9c3af92e907ae6f655bd22215607270055dba1230a3a816b1831
|
金融**信息系统(FFIS)登录显示系统崩溃问题反馈.rar
|
|
4bb74d81e4e09621b7b9f4182899fc372fade3ecd2221bd709efdc37817a3340
|
|
|
eb0139f2fc44ab23afc2a46831a51f754c1467ba95c15c3bddbedda308a9b06f
|
关于调整北***空基层干部员工2023年7月份绩效考核结果的通知.7z
|
|
371e893ea727d7c5a44d3ebe082db98a10912f6b722d1ec5d22071d7535a3af1
|
|
|
5a9930add001fc715b5c93fc1ef49e54cc53642b89fa95cda7d2ada522b50280
|
|
|
e0304d84391c3aaf0576e40baedfcb50a226820b3f75cfc63570095ab1305a3c
|
flashplayerpp_install_cn_web.exe
|
|
47b8ce7c055af1cb548324aa7d8bd0e0184e4e6dfd69161ab4277b0bb668cdbe
|
|
附微步云沙箱S地址:https://s.threatbook.com
戳“阅读原文”,体验微步云沙箱S
↙↙↙
原文始发于微信公众号(微步在线):15个“没节操”的钓鱼攻击,附IoC
