安全矩阵

 找回密码
 立即注册
搜索
查看: 911|回复: 0

15个“没节操”的钓鱼攻击,附IoC

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-8-17 14:04:31 | 显示全部楼层 |阅读模式
Sq1Map 2023-08-16 20:18 发表于广东

编者荐语:

转载最近的HW钓鱼案例: 1、99个震惊世界的未解之谜!! .zip 2、java程序员-简历-宋*全.docx.exe 3、“护航**”网络安全专项整治行动方案.zip 举报信**主管张*彪涉嫌性骚扰.exe 4、其他请看看微步原文

以下文章来源于微步在线 ,作者微步云沙箱S
今年的疯狂十四天一开始,就有师傅收到一份特殊简历——疑似包含钓鱼木马。


微步云沙箱S分析了上面的样本,结果证实,这次属于钓鱼攻击。

还在拉扯人马的防守队伍,人要被钓成翘嘴了,上述攻击手段在最近的演习中屡见不鲜。演习进入第二周,微步云沙箱S捕获了数百个针对性的钓鱼文件,其中多数是CobaltStrike(以下简称CS)木马。在这些钓鱼攻击中,攻击队使用了各种迷惑性的主题,如简历、零日、安全工具、吃瓜、骚扰、曝光、补贴、通知、问题反馈、绩效考核、薪资等,钓鱼方向和社工高度相关。比如,这是其中一个试图以社保信息为饵,进行钓鱼攻击的案例。
在这个钓鱼攻击中,攻击队伪装人力资源部,向目标发送社保相关“通告”,引诱目标打开恶意附件。附件是一个加密压缩包,包含一个图标伪装文档的恶意可执行文件,为了迷惑受害者,打开之后会出现一个看上去像那么回事的文档,文档内容和邮件主题内容呼应,简直做戏做全套。恶意文件图标如下:
恶意文件运行截图如下:

对附件进行分析后,可以看出场景标签包含“CobaltStrike检测”,说明是CS木马。

对附件进行分析后,可以看出场景标签包含“CobaltStrike检测”,说明是CS木马。


至此,可以确认此样本是CS木马。同时,我们可以使用行为检测、情报检测、配置提取、多维检测、引擎检测、静态分析、动态分析等模块对样本进行进一步分析。
温馨提示,在演习或日常工作中,如遇邮件或IM钓鱼,或发现可疑文件,都可以上传至微步云沙箱S进行快速分析检测。如果样本不便公开,可在上传时选择隔离样本。
最后附上一些钓鱼情报:
SHA256文件名
94e1f855be8f5a8477029601f8c44c0c120de8779c812bb86f9f9c3893baa4a9关于统一2023年度各项社会保险缴费工资基数上下限的通告.rar
f141a7c765f3bd6f80968a934a778bdf4f0267adbec1fd60b448ac1de2c05622张**简历—1575736**00—计算机(广州)(1).rar
40ef0deec0f87b5abfb6ed3eaa24671c062ae71ca4e9ce61bf97c6c84080fd8c关于“中***”微信视频号发布短视频的信息说明.exe
7f7990d7caebf089b056555f2e6c6519d58c38e0aa8276322c11175bfa3c987e关于官网注册后信息有关问题的反馈.exe
cd6ac4b9ad9be2ba5839aef2b1c76ed94ab19722f3e35826eb0fbe704f745aa0举报信**主管张*彪涉嫌性骚扰.exe
c157dcaf62e026ba3f2bf42db4996de5714165913b6353f20b4ed397df9f3ca6高温补贴-人员信息收集表.xlsx(请勿外传).exe
d758f2fb9cecf2ef3eb39b23290aedbd8375038f7254434c4f781e095aaf146a工**部-薪资信息表-马*桐(保密)(解压密码:企业域名).exe
e8d31c5e2967aab4745f9ddc00a31779f004d048de86391b4fbd622ab3269772java程序员-简历-宋*全.docx.exe
70927bc8f82f9c3af92e907ae6f655bd22215607270055dba1230a3a816b1831金融**信息系统(FFIS)登录显示系统崩溃问题反馈.rar
4bb74d81e4e09621b7b9f4182899fc372fade3ecd2221bd709efdc37817a3340附件1:Windows邮件客户端升级教程.exe
eb0139f2fc44ab23afc2a46831a51f754c1467ba95c15c3bddbedda308a9b06f关于调整北***空基层干部员工2023年7月份绩效考核结果的通知.7z
371e893ea727d7c5a44d3ebe082db98a10912f6b722d1ec5d22071d7535a3af1“护航**”网络安全专项整治行动方案.zip
5a9930add001fc715b5c93fc1ef49e54cc53642b89fa95cda7d2ada522b5028099个震惊世界的未解之谜!! .zip
e0304d84391c3aaf0576e40baedfcb50a226820b3f75cfc63570095ab1305a3cflashplayerpp_install_cn_web.exe
47b8ce7c055af1cb548324aa7d8bd0e0184e4e6dfd69161ab4277b0bb668cdbe奇*信专杀工具.rar





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 16:00 , Processed in 0.012835 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表