虚假海啸警报恶意攻击的详细分析
字数 2350 2025-08-18 11:36:57
虚假海啸警报恶意攻击分析教学文档
1. 攻击概述
2018年11月,FortiGuard实验室发现针对日本公民的恶意垃圾邮件活动,这些邮件伪装成日本气象厅(JMA)的海啸预警通知,诱导用户点击恶意链接下载木马程序。
1.1 攻击特点
- 使用虚假JMA域名(jma-go[.]jp)冒充真实域名(jma.go.jp)
- 通过垃圾邮件传播,邮件内容存在语法问题,疑似机器翻译
- 攻击载荷随时间变化:最初部署Smoke Loader,后改为AZORult
- 主要针对日本东北部地区居民
2. 攻击技术分析
2.1 攻击流程
- 用户收到伪装成JMA的垃圾邮件
- 点击邮件中的恶意链接(如hxxp://www.jma-go[.]jp/jma/tsunami/tsunami_regions.scr)
- 自动下载并执行恶意软件(Smoke Loader或AZORult)
- 恶意软件连接C&C服务器进行后续攻击
2.2 恶意软件演变
| 时间 | 恶意软件 | 下载链接 | C&C服务器 |
|---|---|---|---|
| 11月初 | Smoke Loader | hxxp://jma-go[.]jp/jma/tsunami/1.exe | hxxp://jma-go[.]jp/js/metrology/jma.php |
| 11月25日后 | AZORult | 同上 | hxxp://www.jma-go[.]jp/java/java9356/index.php |
2.3 传播途径
- 主要途径:虚假JMA网站
- 其他传播路径:
- hxxp://thunderbolt-price[.]com/Art-and-Jakes/Coupon.scr
- hxxp://bite-me.wz.cz/1.exe
3. 恶意软件技术细节
3.1 Smoke Loader分析
3.1.1 反分析技术
- PEB标志检查
- 跳转链反调试检查
- 检测sandboxie(sbiedll)
- 虚拟机检测:
- 检查注册表项:
- HKLM\System\CurrentControlSet\Services\Disk\Enum
- HKLM\System\ControlControlSet\Enum\IDE
- HKLM\System\ControlControlSet\Enum\SCSI
- 检查注册表项:
- 键盘布局检查:避免感染俄罗斯和乌克兰用户
3.1.2 代码注入技术
- 使用PROPagate技术(2018年7月开始使用)
- 通过回调函数配置UxSubclassInfo结构运行explorer.exe
- 触发解密并执行AZORult的payload
3.1.3 进程监控
- 创建两个线程监控进程和窗口
- 计算进程/窗口名称哈希并与硬编码值比较
- 匹配则终止相关进程/窗口
3.1.4 C&C通信
- C&C服务器:hxxp://jma-go[.]jp/js/metrology/jma.php
- 字符串解密算法:
decrypted_byte = not (encrypted_byte xor 0x36 xor 0x04 xor 0xAE xor 0xB8)
3.1.5 第二阶段执行方式
- 无文件方法:内存映射并直接运行
- 下载DLL并立即加载
- 下载DLL/EXE并注册为服务(regsvr32)
3.2 AZORult分析
3.2.1 信息窃取功能
- 浏览器历史记录
- 加密货币钱包
- Skype、Telegram、Steam等应用数据
3.2.2 C&C通信
- 版本3.3使用密钥缓冲区和权重解密URL
- 执行方法取决于URI扩展:
- CreateProcessW
- ShellExecuteExW
4. 攻击者基础设施分析
4.1 域名注册信息
- 注册邮箱:lixiaomraz[@]gmail.com
- 相关钓鱼网站:
- hxxp://www.montepaschi-decreto-gdpr[.]net
- hxxp://www.posteweb-sicurezza[.]com
4.2 其他关联域名
- hxxp://www.3djks92lsd[.]biz
- hxxp://www.38djkf92lsd[.]biz
- hxxp://www.38djks92lsd[.]biz
- hxxp://www.348djks92lsd[.]biz
- hxxp://www.38djks921lsd[.]biz
4.3 重定向技术
- 使用多个重定向域名:
- hxxp://writingspiders[.]xyz
- hxxp://catsamusement[.]xyz
- hxxp://oatmealtheory[.]xyz
- hxxp://canvasporter[.]pw
4.4 隐藏技术
- 使用1x1 iframe隐藏播放YouTube视频(增加播放量)
- 类似技术也用于Twitter和Facebook
5. 防御措施
5.1 Fortinet防护方案
- FortiGuard Antivirus检测恶意文件
- FortiGuard Web过滤服务阻止恶意URL
5.2 通用防御建议
- 警惕非官方域名的邮件和链接
- 注意域名细节(如jma-go[.]jp vs jma.go.jp)
- 保持安全软件更新
- 对可疑邮件进行验证
6. 威胁指标(IOCs)
6.1 文件哈希
27aa9cdf60f1fbff84ede0d77bd49677ec346af050ffd90a43b8dcd528c9633b - W32/Kryptik.GMMP!tr
42fdaffdbacfdf85945bd0e8bfaadb765dde622a0a7268f8aa70cd18c91a0e85 - W32/Kryptik.GMOP!tr
fb3def9c23ba81f85aae0f563f4156ba9453c2e928728283de4abdfb5b5f426f - W32/Kryptik.GMVI!tr
70900b5777ea48f4c635f78b597605e9bdbbee469b3052f1bd0088a1d18f85d3 - W32/GenKryptik.CSCS!tr
a1ce72ec2f2fe6139eb6bb35b8a4fb40aca2d90bc19872d6517a6ebb66b6b139 - W32/Generik.CMTJTLW!tr
7337143e5fb7ecbdf1911e248d73c930a81100206e8813ad3a90d4dd69ee53c7 - W32/GenKryptik.CSIZ!tr
748c94bfdb94b322c876114fcf55a6043f1cd612766e8af1635218a747f45fb9 - W32/Generik.JKNHTRB!tr
6.2 恶意URL
下载地址:
hxxp://www.jma-go[.]jp/jma/tsunami/tsunami_regions.scr
hxxp://jma-go[.]jp/jma/tsunami/1.exe
hxxp://thunderbolt-price[.]com/Art-and-Jakes/Coupon.scr
hxxp://bite-me.wz[.]cz/1.exe
C&C服务器:
hxxp://jma-go[.]jp/js/metrology/jma.php
hxxp://www.jma-go[.]jp/java/java9356/index.php
其他恶意/钓鱼URL:
hxxp://montepaschi-decreto-gdpr[.]net/
hxxp://montepaschi-decreto-gdpr[.]net/procedura-per-sblocco-temporaneo-decreto/conferma_dati.html
hxxp://certificazione.portalemps[.]com/
hxxp://certificazione.portalemps[.]com/verifica-conto/
hxxp://Craigslist[.]business
hxxp://Craiglist[.]news
hxxp://www.3djks92lsd[.]biz
hxxp://www.38djkf92lsd[.]biz
hxxp://www.38djks92lsd[.]biz
hxxp://www.348djks92lsd[.]biz
hxxp://www.38djks921lsd[.]biz
hxxp://writingspiders[.]xyz
hxxp://catsamusement[.]xyz
hxxp://oatmealtheory[.]xyz
hxxp://canvasporter[.]pw
7. 总结
该攻击活动展示了高级持续性威胁(APT)的典型特征:
- 利用社会工程学(虚假灾害警报)
- 使用专业恶意软件(Smoke Loader和AZORult)
- 基础设施快速变化
- 多阶段攻击策略
- 针对特定地区(日本)的精准攻击
安全团队应持续监控此类攻击模式,并及时更新防护规则以应对不断演变的威胁。