5月9日,Docusign披露,他们正在追踪一个针对Docusign用户的恶意电子邮件活动。值得赞扬的是,DocuSign继续提供详细和及时的更新信任中心客户应该继续在那里查看更新。
DomainTools是DocuSign的一个满意的客户,所以当我的一个同事收到这封邮件时并不奇怪。作为一个精通安全的用户,他很快就猜测这封邮件很可能与他提到的恶意软件活动有关布莱恩·克雷布斯在他的博客中写道.
在收到样本邮件后,我在我的恶意软件分析机器上打开了它。有几件事让我印象深刻:
- 钓鱼者在发送电子邮件时,会欺骗一个类似的错别字抢注域名:(电子邮件保护)。com。
- 邮件的主题是,“已完成:domaintools.com -[用户名]文件的电汇说明,准备签字。”
- 邮件中包含一个“审查文件”按钮。我立刻瞄准它,想看看它在哪里重定向,或者掉了什么东西。点击后,该按钮将受害者重定向到该域:http://hertretletan[]俄文/ file.php ?文档= (base 64字符串)
当访问该网站时,一个名为“Wire_Transfer_[乔恩的base64编码电子邮件地址].doc”的文件。是下载的。这很可能是Docusign事件中被泄露的电子邮件地址大量产生的。如果Jon打开了Word文档,他就会被密码窃取者Pony泄露,最终导致他的凭证被泄露回一个可选的30多个额外的命令和控制服务器。讨厌的,不是吗?
做了一些额外的搜索,我意识到这个域是最近的一部分Hancitor从五月初开始的垃圾邮件运动。那次竞选有几个主题,包括针对我的朋友乔恩。在同样的活动中,演员们也把微软Word文档武器化了,同时也去掉了汉克特。
我想做的第一件事是查找专门关于赫氏定义域的信息。
虽然它是在隐私保护下注册的,但我偏离了IP地址:47[.]91[.]90[.]51。另外两个域托管在该IP上:andsihowdint[。俄文和rewthenreti。俄罗斯。在使用hetretletan域的同一Hancitor活动中,这两个域也被用作并行基础设施。攻击者经常利用并行基础设施传播特定的恶意软件活动。他们也可能以区域c2为基地,以获得更有利的连接速度。如果一个C2逻辑上住在受害者附近,连接就会固有地更快。攻击者还可能使用额外的C2服务器以获得更好的冗余和弹性,以确保在活动拓扑中的服务器被关闭时它们仍具有连接性。
另外,我想看看47[.]91[.]90]的被动DNS (pDNS)。希望我能找到其他的活动或其他样本居住在同一“社区”。
此pDNS枢轴暴露了以下附加的hanitor恶意软件活动c2:
- tannareshedt。俄罗斯
- sitthegemuch。俄罗斯
- nymeandge。俄罗斯
- wronforbethim。俄罗斯
- hoteronver。俄罗斯
- mopooland(。)
- weekdkla(。)
- sousedopac(。)
- hertretletan。俄罗斯
- andsihowdint。俄罗斯
- rewthenreti。俄罗斯
- kingzoneg(。)
- wowaskopoq(。)
- castrokolaz(。)
- doomaserf(。)
- 果断gdn。
- zariyamatrimony。com
- loveawry。com
- cheapbillpay。com
- 乐动首页partnersprojectinc。com
- lasvegastradeshowmarketing。com
- knoxvilleupholstery。com
- opbrace。com
- boatingflagpole。com
- precisionexposures。com
- switched-on-schoolhouse。org
- switched-on-schoolhouse-curriculum。org
- cmmotorslimited。com
- hudsonhughes。com
- bonniewozniak。com
其中一些在有用的IOC总结表DocuSign3天前发布。
现代网络罪犯有广泛的工具可供使用。就像任何合法的企业家一样,犯罪分子会定期分散他们的商业利益。不同之处在于,网络犯罪分子会衍生出更多的恶意软件家族。攻击者通常利用不同的恶意软件在相同的基础设施上运行并发活动,以确保一致的收入流。
很多被动DNS连接的基础设施与其他活动相关,包括勒索病毒活动Jaff、Cerber、SAGE 2.0、Teslacrypt 2和LOCKY。其中一些活动可以追溯到2013年2月,而另一些活动在写这篇博客时还在活跃。
这种有机的Maltego视图帮助我们更深入地了解恶意软件活动和家族的集群,这些恶意软件活动和家族都与同一个攻击者或一起工作的攻击者组有关。仔细观察它的聚集方式,你可以看到我们的域名从Jon的钓鱼邮件的主要轴心导致几个恶意软件家族的垃圾邮件活动被连接。
最后,我们将DocuSign品牌放入我们的PhishEye产品中,它出现了一长串滥用域名的列表,其中36个已经被著名的安全公司屏蔽,另外12个DomainTools在其专有风险评分模型中得分超过70,但还没有出现在相同的知名屏蔽列表中:
PhishEye将继续监测任何滥用Docusign品牌的新域名注册,并将其实时发送给我们。但现在,在你的网络中屏蔽所有这些也无妨。
__________________________________________________________
[1]散列:fff786ec23e6385e1d4f06dcf6859cc2ce0a32cee46d8f2a0c8fd780b3ecf89a
[2]散列:4120 d017f262c600b38da267d79c7d2a4f6305ac04a45889645861e02e781d29
