伪装成花旗银行对帐单的窃密攻击活动
字数 1663 2025-08-06 08:35:30

伪装成花旗银行对帐单的窃密攻击活动分析报告

一、攻击概述

这是一起针对金融行业客户的网络攻击活动,攻击者伪装成花旗银行对帐单进行窃密攻击。攻击者利用被入侵的墨西哥能源公司(nrgtik.mx)和德国医疗护理网站作为载荷服务器,通过多阶段攻击链最终部署AZORult窃密木马。

二、攻击流程分析

1. 初始感染阶段

  • 攻击载体:伪装成花旗银行对帐单的LNK文件
  • 文件特征:使用PDF图标增强迷惑性
  • 执行方式
    • 调用CMD程序生成并执行BAT脚本
    • 创建计划任务实现持久化

2. 脚本下载阶段

  • BAT脚本功能
    • 从远程服务器下载恶意JS脚本
    • 删除之前创建的计划任务(清理痕迹)
  • JS脚本(agent.js)行为
    • 自我复制到ProgramData目录
    • 下载恶意PowerShell脚本(agent3.ps1)

3. 载荷执行阶段

  • PowerShell脚本(agent3.ps1)功能
    • 通过shellcode在内存中加载执行远程EXE程序
    • EXE程序特征:
      • 读取并解密资源段中的PE文件
      • 内存加载执行解密后的PE
      • 检查系统语言(特定语言则退出,可能为地域规避)
      • 创建伪装成Firefox更新的计划任务

4. 数据窃取阶段

  • 信息收集
    • 获取主机相关信息
    • 加密后发送到C2服务器(45.90.58.1/config.php)
  • 后续载荷下载
    • 下载执行恶意PowerShell脚本(sd2.ps1/sd4.ps1)
    • 脚本功能:
      • 下载配置信息
      • 异或解密.NET恶意软件
      • 加载KOI窃密模块

5. 窃密模块功能

  • KOI恶意模块功能
    • 窃取主机文件
    • 窃取通讯应用数据
    • 窃取浏览器数据
    • 窃取虚拟数字货币钱包数据
    • 加密后发送到远程服务器

三、技术细节分析

1. 持久化技术

  • 多阶段计划任务:
    • 初始任务执行BAT脚本
    • 后续伪装成Firefox更新的任务

2. 规避技术

  • 系统语言检查(GetUserDefaultLangID)
  • 内存加载执行(无文件落地)
  • 使用合法网站作为载荷服务器(降低怀疑)

3. 通信机制

  • C2服务器:45.90.58.1
  • 通信协议:HTTP POST
  • 数据格式:加密后的JSON数据
  • 指令控制:服务器返回不同指令执行不同操作

4. 载荷解密技术

  • 资源段数据解密:
    • 删除多余00数据
    • 自定义解密算法
  • PowerShell脚本解密:
    • 异或解密.NET恶意软件

四、关联分析

  1. 基础设施关联

    • nrgtik.mx域名已被标记为失陷主机
    • 关联到多个JS恶意脚本(变种)
    • 45.90.58.1 IP已被标记为恶意

  2. 恶意软件家族

    • 与AZORult窃密木马特征匹配
    • 使用KOI窃密模块

  3. 攻击组织

    • 可能为专业金融窃密团伙
    • 攻击手法与"银狐"木马类似

五、防御建议

1. 终端防护

  • 禁用不必要的脚本执行(WSH、PowerShell)
  • 监控计划任务创建行为
  • 检测内存加载可疑PE的行为

2. 网络防护

  • 拦截已知恶意IP(45.90.58.1等)
  • 监控异常HTTP POST请求
  • 检测加密数据外传行为

3. 用户教育

  • 警惕伪装成银行文件的附件
  • 验证文件来源真实性
  • 报告可疑邮件和文件

4. 威胁情报

  • 订阅最新金融行业威胁情报
  • 共享IOC信息(IP、域名、文件哈希等)
  • 监控失陷主机指标

六、IOC(入侵指标)

  1. 文件哈希

    • 初始LNK文件(未提供具体哈希)
    • agent.js、agent3.ps1等脚本文件

  2. 网络指标

    • C2服务器:45.90.58.1
    • URL:/config.php
    • 载荷服务器:nrgtik.mx等

  3. 行为指标

    • 创建Firefox更新计划任务
    • 内存加载不明PE文件
    • 大量收集系统信息并外传

七、总结

该攻击活动展示了现代网络犯罪的典型特征:

  1. 利用社会工程学(伪装银行文件)
  2. 多阶段攻击链规避检测
  3. 滥用合法网站作为攻击基础设施
  4. 专业化的窃密模块
  5. 地域针对性规避技术

金融行业客户应特别警惕此类攻击,加强终端防护和员工安全意识培训。安全团队应关注AZORult等窃密木马的最新变种,及时更新检测规则。

伪装成花旗银行对帐单的窃密攻击活动分析报告 一、攻击概述 这是一起针对金融行业客户的网络攻击活动,攻击者伪装成花旗银行对帐单进行窃密攻击。攻击者利用被入侵的墨西哥能源公司(nrgtik.mx)和德国医疗护理网站作为载荷服务器,通过多阶段攻击链最终部署AZORult窃密木马。 二、攻击流程分析 1. 初始感染阶段 攻击载体 :伪装成花旗银行对帐单的LNK文件 文件特征 :使用PDF图标增强迷惑性 执行方式 : 调用CMD程序生成并执行BAT脚本 创建计划任务实现持久化 2. 脚本下载阶段 BAT脚本功能 : 从远程服务器下载恶意JS脚本 删除之前创建的计划任务(清理痕迹) JS脚本(agent.js)行为 : 自我复制到ProgramData目录 下载恶意PowerShell脚本(agent3.ps1) 3. 载荷执行阶段 PowerShell脚本(agent3.ps1)功能 : 通过shellcode在内存中加载执行远程EXE程序 EXE程序特征: 读取并解密资源段中的PE文件 内存加载执行解密后的PE 检查系统语言(特定语言则退出,可能为地域规避) 创建伪装成Firefox更新的计划任务 4. 数据窃取阶段 信息收集 : 获取主机相关信息 加密后发送到C2服务器(45.90.58.1/config.php) 后续载荷下载 : 下载执行恶意PowerShell脚本(sd2.ps1/sd4.ps1) 脚本功能: 下载配置信息 异或解密.NET恶意软件 加载KOI窃密模块 5. 窃密模块功能 KOI恶意模块功能 : 窃取主机文件 窃取通讯应用数据 窃取浏览器数据 窃取虚拟数字货币钱包数据 加密后发送到远程服务器 三、技术细节分析 1. 持久化技术 多阶段计划任务: 初始任务执行BAT脚本 后续伪装成Firefox更新的任务 2. 规避技术 系统语言检查(GetUserDefaultLangID) 内存加载执行(无文件落地) 使用合法网站作为载荷服务器(降低怀疑) 3. 通信机制 C2服务器:45.90.58.1 通信协议:HTTP POST 数据格式:加密后的JSON数据 指令控制:服务器返回不同指令执行不同操作 4. 载荷解密技术 资源段数据解密: 删除多余00数据 自定义解密算法 PowerShell脚本解密: 异或解密.NET恶意软件 四、关联分析 基础设施关联 : nrgtik.mx域名已被标记为失陷主机 关联到多个JS恶意脚本(变种) 45.90.58.1 IP已被标记为恶意 恶意软件家族 : 与AZORult窃密木马特征匹配 使用KOI窃密模块 攻击组织 : 可能为专业金融窃密团伙 攻击手法与"银狐"木马类似 五、防御建议 1. 终端防护 禁用不必要的脚本执行(WSH、PowerShell) 监控计划任务创建行为 检测内存加载可疑PE的行为 2. 网络防护 拦截已知恶意IP(45.90.58.1等) 监控异常HTTP POST请求 检测加密数据外传行为 3. 用户教育 警惕伪装成银行文件的附件 验证文件来源真实性 报告可疑邮件和文件 4. 威胁情报 订阅最新金融行业威胁情报 共享IOC信息(IP、域名、文件哈希等) 监控失陷主机指标 六、IOC(入侵指标) 文件哈希 : 初始LNK文件(未提供具体哈希) agent.js、agent3.ps1等脚本文件 网络指标 : C2服务器:45.90.58.1 URL:/config.php 载荷服务器:nrgtik.mx等 行为指标 : 创建Firefox更新计划任务 内存加载不明PE文件 大量收集系统信息并外传 七、总结 该攻击活动展示了现代网络犯罪的典型特征: 利用社会工程学(伪装银行文件) 多阶段攻击链规避检测 滥用合法网站作为攻击基础设施 专业化的窃密模块 地域针对性规避技术 金融行业客户应特别警惕此类攻击,加强终端防护和员工安全意识培训。安全团队应关注AZORult等窃密木马的最新变种,及时更新检测规则。