事关企业财务安全!360再次发布钓鱼攻击预警
2023-03-22
今年二月,360数字安全发布了《数千企业财务中招!360发布新一轮钓鱼攻击预警》的分析播报。近日,360数字安全大脑监测到该攻击团伙又有新动向,新一轮钓鱼攻击链条更加完整,攻击者除用之前的方式部署远控木马外,还增加了文件窃取的功能,需要众多企业财务人员重点关注。
此次攻击者还是以“【电子发票】.exe”、“发----票.zip”、“发-票-资-料.zip”等为文件名称,除了通过即时通讯软件、邮件传播外,还利用了七牛测试域名、金山文档的共享链接方式传播远控木马,攻击目标为各类公司、企业、政府机构的财务人员,目前已监控到数千用户被攻击。
下图是攻击者使用的其中一个传播连接,攻击者通过文件共享功能,给受害者发送一个伪装成文档的木马程序。
以捕获到的其中一个木马为例,该木马以“发-票-资-料.zip”名称进行传播,压缩包内文件名称为“5005887.exe”,文件的图标与excel相似,易于迷惑用户。
这个木马程序,本身具有远控功能,除了常见的远控功能如文件传输、远控语音视频监听、键盘记录等,还会在执行时释放压缩打包工具rar.exe,然后利用rar.exe把本地的xlsx、txt、doc、png、xls、docx、ppt、jpg、jpeg等后缀的文件打包到名称为“data.rar”文件中。
随后把打包好的数据传送到攻击者的服务器。
根据我们在暗网黑市中获取到的信息,攻击者拿到这些数据之后,会通过一系列“黑产工具”,通过窃取来的信息,对相关人群,如企业客户、企业主发起网络诈骗。下图就是这类攻击者使用的一个做图工具,可以生成银行的交易界面图,该工具可以设置各种参数,这些工具都为攻击者钓鱼攻击提供了各种可能性。
之前有一轮攻击被360数字安全大脑拦截,我们发布了分析报告《数千企业财务中招!360发布新一轮钓鱼攻击预警》,通过360数字安全大脑分析,两次攻击者相似度极高,使用了大量共同资源,属于同一个攻击团伙。
除了针对性安全防范,360数字安全建议广大政企用户建立全面的数字安全防御体系,正确安装安全防护软件,以免重要数据泄露而产生不可逆的损失。
作为数字安全的领导者,360基于以“看见”为核心的安全运营服务体系,打造了一整套数字安全防御解决方案,从“云、管、端、地、险”五个维度出发,利用360本地安全大脑、360 EDR、360NDR等多款安全产品及服务,完整覆盖事前、事中、事后三个关键阶段,帮助用户感知风险、看见威胁、抵御攻击,实现多方位、全流程、体系化的勒索防护。未来,360将持续深耕安全防护,助力广大政企机构构建起体系化安全能力。
Iocs:
103.145.191.43:3306
52.128.226.194:3306
4c97d7b2e36eba33db6615ebe57ce8a4
a8a96d4930417bf15e4dfa429ff813b9
d9f25e299322f9d39e60d40e35f4c262
9ad14997bf62f7ce2bb9e1a7a7e12f67
e9dcd9eb96334569d1ec12e0d3b9fdea
c066d8d869121a4281da0a3fd1d1aced
2739b1bf6fe013e78228d622512fc00f
11c6ee13a1775ac6bb240abbf3e1bd92
7eed6c2ee1ef5b87d402f8945c88a7fe