攻击描述
Emotet是于2014年首次出现的一种著名银行木马,直至2023年早期仍然在全球范围内流行,其主要通过邮件附件传播。山石网科情报中心近期发现了一批恶意zip邮件附件。zip文件解压后释放一个大于500MB且带有VBA宏的word文档。受害者打开文档并启用宏后将下载并执行Emotet恶意软件。
简要分析
压缩文件解压后的word文档后缀为doc,大小超过500MB。攻击者在其中填充了大量0字节,使其超出沙箱和扫描引擎等反病毒方案的大小限制来逃过检测。
打开文档可以看到诱骗用户启动宏的模板:
打开文档可以看到诱骗用户启动宏的模板:
调试解密AutoOpen宏可以发现恶意DLL的下载URL与在本地的保存路径。
山石情报中心已收录相关样本,用户可以在山石网科威胁情报中心云瞻中查看相关IOC信息:
处置建议
用户可以通过使用山石网科的防火墙和NIPS产品,利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。山石网科的防火墙不仅提供了先进的网络安全防护功能,还集成了态势感知云景的智能能力,可以高效地监测和拦截与APT组织相关的威胁情报(IOC)和恶意行为。此外,它还能够快速响应和拦截与当前安全趋势、安全事件和相关样本有关的威胁。
失陷指标
hxxps://midcoastsupplies[.]com[.]au/configNQS/Es2oE4GEH7fbZ/
hxxp://mtp[.]evotek[.]vn/wp-content/L/
hxxp://www[.]189dom[.]com/xue80/C0aJr5tfI5Pvi8m/
hxxps://esentai-gourmet[.]kz/404/EDt0f/
hxxp://139[.]219[.]4[.]166/wp-includes/XXrRaJtiutdHn7N13/
hxxps://www[.]snaptikt[.]com/wp-includes/aM4Cz6wp2K4sfQ/
hxxps://diasgallery[.]com/about/R/
18c9003a0a5edd71ffca13a815d612cb
29580c804dc48f2afa1dc3f043976915
849dc8705536f331da1c4978abdba92c
b89c2b2e19dd8c0037d17b18132cda8f
69a5d6bff7916e89328735d6dfeb1969
116a90f246cfd65e3333841734e3a6b8转载来源:https://mp.weixin.qq.com/s/U8gxKX3Ts3OkvA_71ZDISg
图片来源网络侵权可联系删除
