移动安全 安全管理 应用案例网络威胁 系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 网络威胁 >

新一波针对银行金融和运营商的报复打击来袭

时间:2013-05-15 11:47来源:TuZhiJiaMi企业信息安全专家 点击:
5月9号上午8点,在某大年夜型企业摆设的APT防御设备捕获到了操纵金融作为主题,以美国花旗银行的邮件账户源的报复打击邮件,附带DOC的报复打击文档,并且在该企业内网邮件大年夜量传播
Tags网络威胁(394)运营商(4)银行金融(1)  

  5月9号上午8点,在某大年夜型企业摆设的APT防御设备捕获到了操纵金融作为主题,以美国花旗银行的邮件账户源的报复打击邮件,附带DOC的报复打击文档,并且在该企业内网邮件大年夜量传播。同时我们发现该报复打击首要报复打击从事金融方面或相干的企业。

  该报复打击穿透大年夜部门传统的收集安然防护产品,请各大年夜企事业单位存眷这波报复打击,避免首要资产流掉。

  APT防御设备捕获图:

  Email原文以美国花旗银行的账户为源,并棍骗附件是花旗银行的付出电子商户声明

  被报复打击者打开后将会触发CVE2012-0158缝隙,并打开利诱性的DOC文档

新一波针对银行金融和运营商的报复打击来袭

  利诱性DOC

  缝隙触发shellcode履行后,在姑且目次释放paw.EXE 并履行

  该exe履行后先复制本身至C:\Documents and Settings\***\Application Data 随机生成的目次下,经由过程不合的启动标记履行响应把持

  第一次履行复制本身后,便释放tmp53865f51.bat 删除本身及文件

  bat

  @echo off

  :d

  del "C:\Documents and Settings\***\桌面\paw.exe"

  if exist "C:\Documents and Settings\***\桌面\paw.exe" goto d

  del /F "C:\DOCUME~1\torpedo\LOCALS~1\Temp\tmp53865f51.bat"

  第二次履行首要列举过程,找到合适前提的过程,注进到系统explorer过程 大年夜小0×48000

新一波针对银行金融和运营商的报复打击来袭

  注进代码首要功能:列举系统过程、查找文件、获得计较机信息、系统环境等信息经由过程加密的编制发送到远处办事器上,同期间码履行过程中有大年夜量的反调试器跟踪。

  该报复打击样本存在大年夜量的收集连接办事器节点,漫衍在不合国度,此中有美国,俄罗斯,荷兰等,采取了近似P2P Variant of Zeusbot/Spyeye和谈。

新一波针对银行金融和运营商的报复打击来袭

  来自http://www.symantec.com/connect/blogs/cracking-new-p2p-variant-zeusbotspyeye

新一波针对银行金融和运营商的报复打击来袭

  连接数据包

新一波针对银行金融和运营商的报复打击来袭

------分隔线----------------------------

推荐内容