龙de船人 新闻 警惕!“新冠病毒”木马正向航运业发起攻击

警惕!“新冠病毒”木马正向航运业发起攻击

作者:龙de船人| 发布时间: 2020-2-24 14:51| 查看数: 2554| 评论数: 0

2020年,一场突如其来的新冠肺炎疫情打破了开年的平静,全民陷入漫长的抗疫鏖战之中;而就在疫情出现向好拐点态势之时,打着“新冠病毒”旗号的木马再次肆虐网络。

根据360官方消息,近日,360安全大脑就全球首家拦截到以“冠状病毒”为主题的钓鱼活动,该活动瞄准大型航运公司,定向扩散商业间谍木马“HawkEye Keylogger 10.0”,并对受害者进行监控及回传多种有价值的私密数据。

经360安全大脑溯源分析发现,该商业间谍木马“HawkEye Keylogger 10.0”又称鹰眼键盘记录器,国内外已有大批航运企业不幸感染,且该木马正向国际贸易领域快速扩散。针对此类商业间谍攻击,360安全卫士已首家支持对该木马的拦截,广大用户可及时下载安装360安全卫士进行拦截查杀。


疫情之下钓鱼邮件趁火打劫“鹰眼”间谍木马借office漏洞泛滥

从360安全大脑监测数据来看,危及大批航运企业的最新商业间谍木马“HawkEye Keylogger 10.0”,主要利用钓鱼邮件的方式传播扩散。

不法分子通过邮件将暗藏恶意代码的表格文档“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”发送至目标人群邮箱。

而翻译成中文即为“冠状病毒影响船员和轮船航运”的文档极具诱导性。而当受害者打开恶意文档,界面会显示一个带有安全警告的宏禁用提示,再一次诱导用户点击运行。


值得一提的,即使用户拒绝启用宏,不法分子仍会通过经典的office公式编辑器漏洞(CVE-2017-11882),让文档携带的恶意代码在目标电脑中自动运行。


成功运行后下载解密木马核心模块“HawkEyeKeylogger”,并根据资源中的加密配置,将信息回传给远程ESMTP服务器,具体地址为“mail.novaa-ship.com”,而发送邮件所使用的账号则为“armani@novaa-ship.com”(阿玛尼)。


回传信息也就是木马所窃数据,具体包括目标电脑上的账号密码、键盘记录、屏幕截图、摄像头、剪切板等,而上述信息不管是对个人还是中招企业来说,都可能造成极大的安全隐患。




仿冒航运巨头企业域名不法团伙借商业间谍木马谋利

疫情之下木马趁虚作乱,而经360安全大脑研判,HawkEye Keylogger木马不仅是一款久经迭代的商业键盘记录器,网上甚至能找到公开销售该木马的主页。

同时从360安全大脑追踪数据来看,目前市面上传播的多为“HKRv9”版,此次360安全大脑首家捕获的样本,其配置资源中标注的则是10.0,也就是说捕获版本极可能是该木马的最新版本。


与此同时,360安全大脑在分析钓鱼文件名及其配置资源中发现,钓鱼域名重点仿冒新加坡Nova集团船运公司官方域名,通过在“nova”域名后增加字母 “a”的方式迷惑目标,由此可推断此次攻击主要针对的是航运贸易行业。


随后,360安全大脑根据木马配置中使用的回传邮箱账号,进一步找到该邮箱服务器的一个后台,该邮箱数据虽显示为空,但通过邮箱转发规则锁定了不法分子转移数据的接收者邮箱。原来,不法分子为躲避追踪,对窃取数据进行了二次转移,360安全大脑发现了如下3个转移数据接收者邮箱。


拦截邮箱后,360安全大脑捕获到了不法分子从受害者电脑陆续回传的数据,正如360安全大脑分析的那样,涉及了受害者多种私密账号密码和全部键盘记录等内容,并且在一受害者所被窃取的键盘输入数据中,发现受害者的office办公软件中涉及 “船务代理”等商业信息,悉数被木马回传至不法分子服务器,这无疑将危及企业商业运营。


在追踪到不法分子邮箱服务器后台后,360安全大脑发现此次商业窃密木马为团伙作案,并从追踪到的通信地址信息来看,该团伙有着明确的业务分工体系。




染指航运后蔓延贸易领域360安全大脑全球首家拦截查杀

相较于不法分子的单独作案,商业间谍木马的团伙作案方式意味着更高的威胁。360安全大脑根据C&C域名溯源同类样本后也印证了这一点,目前此次商业间谍木马钓鱼活动不仅殃及航运业,且正快速向国际贸易领域扩散。


360安全专家通过whois查询通讯录邮箱域名时发现,全球范围内发生的多起同类事件均为同一个匿名实体注册,通过隐私保护设置与DNS解析地址也进一步确认,多起事件均出自同一团伙之手。


必须注意的是,在间谍木马之外,360安全大脑还在邮箱服务器中,发现了与知名间谍木马“AgentTesla”存在关联的邮箱(“ViFeki3@yandex.com”),结合两款木马的性质、攻击手法等特征,推断二者之间具有一定的相关性和同源性。也就是说,此轮借新冠肺炎疫情的钓鱼活动,不仅是团伙作案,还极可能存在多个间谍木马同时扩散的情况。


最后,在全民阻击新冠肺炎疫情的攻坚期,不法分子借“新冠病毒”诱饵文件散播间谍木马,不仅为“远程办公”下的白领们埋下了随时暴雷的安全隐患,更令无数齐心战“疫”的个人用户和企业机构陷入无尽的安全风险。


因此,针对此次以疫情为诱饵的商业间谍木马,360安全大脑特别建议广大用户做好以下防护措施,保护抗疫期间的电脑及财产安全:

1、及时前往weishi.360.cn,下载安装360安全卫士,强力查杀此类病毒木马;

2、提高安全意识,切勿随意点击来源不明的邮件、文档、链接等;

3、定期检测系统和office、IE、Flash等常用软件中的安全漏洞,及时打上补丁。






来源:360安全官方账号

最新评论

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发布新闻

小黑屋||关于我们(mail@imarine.cn)|免责条款||龙de船人 ( 五分快三-1 )

GMT+8, 2020-4-1 16:22

Powered by Imarine

Copyright © 2006-2020, 龙de船人

快速回复 返回顶部 返回列表