网络钓鱼活动“蜜蜂”已盯上人道主义援助组织

-回复 -浏览
楼主 2019-09-20 14:41:47
举报 只看此人 收藏本贴 楼主



根据某网络安全厂商在上周五发表的博客文章,威胁小组发现了一起以人道主义援助组织(Humanitarian Aid Groups)为目标的网络钓鱼活动,并以朝鲜政治话题为诱饵,以诱使受害者打开恶意的Microsoft Word文档。根据攻击活动中所使用的恶意文件的名称,将这起活动命名为“Honeybee(蜜蜂)”。



这起活动中的钓鱼电子邮件以两种形式存在,一种直接将恶意文档作为附件,另一种则包含用于下载恶意文档的链接。恶意文档包含一个Visual Basic宏,旨在删除并执行新版本的SYSCON后门程序。SYSCON的这个版本最初出现在2017年,有研究人员在去年10月份曾指出,SYSCON后门程序正通过恶意文档传播,其文件内容涉及朝鲜和部分红十字会与世界卫生组织的有关人员。


恶意Visual Basic脚本使用唯一键(自定义字母)来编码数据,这与之前基于SYSCON的攻击活动一致。这种方式同样被用于Honeybee活动中,似乎是自2017年8月起开始使用的。恶意软件允许攻击者将文件上传到服务器以及将文件下载到受感染系统并执行它们。



恶意文档显示为伪造的Google文档或Microsoft Office消息,指示收件人启用编辑和内容以访问信息。如果收件人选择了如此操作,则会执行恶意代码并将恶意软件下载到其设备上。



在1月17日和2月3日之间出现了几个额外的文档,不过仍然包含了同样的Visual Basic宏代码以及相同的作者姓名。一些恶意文档经证实,并不包含恶意代码,认为它们很有可能被用于测试。


大多数这些文档都是从韩国提交的,这表明恶意软件的开发人员很可能韩国人。名为“Windows User”的文档作者在1月12日创建了一个相关的恶意文档,其中包含一个不同的编码密钥,但实际上使用了与Honeybee文档相同的宏和相同类型的最终有效载荷。


除查找恶意文档外,还发现了一个基于Win32的可执行文件。这是一个滴管组件(Dropper),使用了从Adobe Systems盗取的数字签名。它伪装成Word文档图标,一旦执行,就会打开一个诱饵文件,指示受害者启用内容以访问信息。攻击中的诱饵文档则利用了基于云计算的会计软件公司Xero:




Honeybee活动中诱饵文件使用的技术(如引诱消息)之前主要在韩国被观察到。而现在这项活动显然扩展到韩国境外,并以越南、新加坡、阿根廷、日本、印度尼西亚和加拿大为主要目标。诱饵文件主要以朝鲜政治话题作为主题,这表明来自这些国家并参与人道主义援助和朝韩事务的人将会是其主要攻击对象。


来源:黑客视界




我要推荐
转发到