-
-
[推荐]冒充安恒信息对看雪论坛的一次定向钓鱼攻击
-
发表于: 2019-11-6 22:45
-
两封邮件附带的恶意链接都是一样的,如下:
www.dbappsecurtiy.com/pediy/error.hta
error.hta是一个vbs脚本,内嵌powershell脚本,如下所示:
解密出来的返回数据包信息,如下所示:
这次钓鱼定向攻击,钓鱼攻击者冒充的发件人邮件信息:
wu.jinyan@dbappsecurtiy.com
很明显冒充了安恒的邮箱,安恒的邮箱地址后缀是dbappsecurity.com
这应该是一次有目的性,通过钓鱼邮件定向攻击目标,并进行远程控制的网络攻击行为,此次钓鱼邮件定向攻击同样采用"无文件"攻击手法,无落地PE文件,邮件附件中只包含一个HTA脚本文件,通过执行HTA脚本调用PowerShell执行所有的恶意操作
现在的钓鱼邮件攻击越来越多,各企业或网站的相关管理人员,一定要擦亮眼睛,以防被钓鱼攻击,不要轻易打开陌生的邮件以及附件
IOC
584437BC8063B64FB65D2882A7DDBD89
C&C
45.89.175.192
www2.netstorehosting.com
URL
hxxp://www.dbappsecurtiy[.]com/pediy/error.hta
www2.netstorehosting[.]com/login/process.php
www2.netstorehosting[.]com/admin/get.php
www2.netstorehosting[.]com/news.php
最后欢迎大家关注此微信公众号,专注全球恶意样本的分析与研究,深度追踪与解析恶意样本背后的黑色产业链,关注全球最新的安全攻击技术,及时提供全球最新最有价值的威胁情报信息
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
