2020年,一场突如其来的新冠肺炎疫情打破了开年的平静,全民陷入漫长的抗疫鏖战之中;而就在疫情出现向好拐点态势之时,打着“新冠肺炎”旗号的木马再次肆虐网络。
近日,360安全大脑就全球首家拦截到以“冠状病毒”为主题钓鱼活动,该活动瞄准大型航运公司,定向扩散商业间谍木马“HawkEye Keylogger 10.0”,并对受害者进行监控及回传多种有价值的私密数据。
经360安全大脑溯源分析发现,该商业间谍木马“HawkEye Keylogger 10.0”又称鹰眼键盘记录器,国内外已有大批航运企业不幸感染,且该木马正向国际贸易领域快速扩散。针对此类商业间谍攻击,360安全卫士已首家支持对该木马的拦截,广大用户可及时下载安装360安全卫士进行拦截查杀。
疫情之下钓鱼邮件趁火打劫 “鹰眼”间谍木马借office漏洞泛滥
从360安全大脑监测数据来看,危及大批航运企业的最新商业间谍木马“HawkEye Keylogger 10.0”,主要利用钓鱼邮件的方式传播扩散。
不法分子通过邮件将暗藏恶意代码的表格文档“CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm”发送至目标人群邮箱。
而翻译成中文即为“冠状病毒影响船员和轮船航运”的文档极具诱导性。而当受害者打开恶意文档,界面会显示一个带有安全警告的宏禁用提示,再一次诱导用户点击运行。
值得一提的,即使用户拒绝启用宏,不法分子仍会通过经典的office公式编辑器漏洞(CVE-2017-11882),让文档携带的恶意代码在目标电脑中自动运行。
成功运行后下载解密木马核心模块“HawkEyeKeylogger”,并根据资源中的加密配置,将信息回传给远程ESMTP服务器,具体地址为“mail.novaa-ship.com”,而发送邮件所使用的账号则为“armani@novaa-ship.com”(阿玛尼)。
回传信息也就是木马所窃数据,具体包括目标电脑上的账号密码、键盘记录、屏幕截图、摄像头、剪切板等,而上述信息不管是对个人还是中招企业来说,都可能造成极大的安全隐患。
仿冒航运巨头企业域名 不法团伙借商业间谍木马谋利
疫情之下木马趁虚作乱,而经360安全大脑研判,HawkEye Keylogger木马不仅是一款久经迭代的商业键盘记录器,网上甚至能找到公开销售该木马的主页。
同时从360安全大脑追踪数据来看,目前市面上传播的多为“HKRv9”版,此次360安全大脑首家捕获的样本,其配置资源中标注的则是10.0,也就是说捕获版本极可能是该木马的最新版本。
与此同时,360安全大脑在分析钓鱼文件名及其配置资源中发现,钓鱼域名重点仿冒新加坡Nova集团船运公司官方域名,通过在“nova”域名后增加字母“a”的方式迷惑目标,由此可推断此次攻击主要针对的是航运贸易行业。
随后,360安全大脑根据木马配置中使用的回传邮箱账号,进一步找到该邮箱服务器的一个后台,该邮箱数据虽显示为空,但通过邮箱转发规则锁定了不法分子转移数据的接收者邮箱。原来,不法分子为躲避追踪,对窃取数据进行了二次转移,360安全大脑发现了如下3个转移数据接收者邮箱。
拦截邮箱后,360安全大脑捕获到了不法分子从受害者电脑陆续回传的数据,正如360安全大脑分析的那样,涉及了受害者多种私密账号密码和全部键盘记录等内容,并且在一受害者所被窃取的键盘输入数据中,发现受害者的office办公软件中涉及“船务代理”等商业信息,悉数被木马回传至不法分子服务器,这无疑将危及企业商业运营。
最后,在追踪到不法分子邮箱服务器后台后,360安全大脑发现此次商业窃密木马为团伙作案,并从追踪到的通信地址信息来看,该团伙有着明确的业务分工体系。
染指航运后蔓延贸易领域 360安全大脑全球首家拦截查杀
相较于不法分子的单独作案,商业间谍木马的团伙作案方式意味着更高的威胁。360安全大脑根据C&C域名溯源同类样本后也印证了这一点,目前此次商业间谍木马钓鱼活动不仅殃及航运业,且正快速向国际贸易领域扩散。
360安全专家通过whois查询通讯录邮箱域名时发现,全球范围内发生的多起同类事件均为同一个匿名实体注册,通过隐私保护设置与DNS解析地址也进一步确认,多起事件均出自同一团伙之手。
值得一提的是,在间谍木马之外,360安全大脑还在邮箱服务器中,发现了与知名间谍木马“AgentTesla”存在关联的邮箱(“ViFeki3@yandex.com”),结合两款木马的性质、攻击手法等特征,推断二者之间具有一定的相关性和同源性。也就是说,此轮借新冠肺炎疫情的钓鱼活动,不仅是团伙作案,还极可能存在多个间谍木马同时扩散的情况。
在当前这个阻击新冠肺炎疫情的攻坚期,不法分子借势扩散网络病毒,不仅利用了个人及企业对疫情的关注度,更为企业“远程办公”埋下了随时暴雷的安全隐患。
360安全大脑作为能实现网络安全防御智能升级的雷达系统,依托250亿+恶意样本、22万亿安全日志、80亿条域名信息、2EB以上的安全大数据,持续各领域企业及个人用户输出安全保护力。针对此次借疫情扩散的商业间谍木马,360安全大脑不仅第一时间查杀拦截的同时,为避免这类攻击态势再度蔓延,360安全大脑建议广大用户做好以下防护措施,保护抗疫期间的电脑及财产安全:1、及时前往weishi.360.cn,下载安装360安全卫士,强力查杀此类病毒木马;2、提高安全意识,不随意点击来源不明的邮件、文档、链接等,并及时为操作系统和office、IE、Flash等常用软件打好补丁。3、定期检测系统和软件中的安全漏洞,及时打上补丁。
