一 团伙介绍勒索病毒文件恢复的方法就是升级系统,你还在使用windows xp系统吗?那你就out了,微软都已经基本停止对xp系统的补丁供给了,还在等什么?快点升级到windows10吧,让妈妈再也不用担心你被勒索病毒袭击啦。
“抓鸡狂魔” 病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马(如darkcomet,njrat等)在全球范围内批量抓肉鸡。控制肉鸡后,收集用户隐私信息、机密文件或者发起ddos攻击,对中毒用户危害严重。
“抓鸡狂魔”团伙最早活动可追溯到2017年,最初使用darkcomet进行抓鸡。在2018年上半年开始利用word漏洞文档进行定向攻击。其中在2018年4月份开始,通过投递带有cve-2017-11882等漏洞文档的鱼叉邮件(指针对特定目标,精心伪造的攻击邮件)发起攻击。
darkcomet木马又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后,不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用中招电脑作跳板,对其它攻击目标进行ddos攻击。
darkcomet(“暗黑彗星”)木马国内广泛分布,感染率前三的省份为广东、浙江和河南。“抓鸡狂魔”团伙的木马控制服务器大多位于美国、法国,通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区的可能性较大。
二 团伙图谱
通过安图高级威胁追溯系统,查询到“抓鸡狂魔”团伙的相关信息。
目前未追溯到该团伙国籍信息,其服务器所在地大部分在法国和美国,且通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区。
通过对“抓鸡狂魔”团伙多条ioc进行分析,发现团伙常使用ddnsnet,hoptoorg,duckdnsorg和zaptoorg等动态域名,部分域名命名具有一定规则,如前缀jeff,如jeffyunqhoptoorg,jeffallen247hoptoorg等。然后通过ioc交叉关联和攻击手法分析,发现几起攻击事件高度可疑来自“抓鸡狂魔”团伙,如下图。
“抓鸡狂魔”团伙常用钓鱼手法,比如鱼叉邮件、伪装正常程序以假乱真、美女图标程序等,而且利用已公开的漏洞来提高攻击成功率,在今年4月份通过投递cve-2017-1188,cve-2017-8759漏洞文档定向攻击。
御见情报中心对“抓鸡狂魔”团伙长期跟踪,今年4月份,该团伙通过鱼叉邮件大量传播后门木马,异常活跃,之后热度有所下降。最近从9月开始,“抓鸡狂魔”团伙活动热度又有上升趋势。
(“抓鸡狂魔”团伙活动态势)
通过分析发现目前“抓鸡狂魔”团伙使用的darkcomet远程控制木马异常活跃。darkcomet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用被控制的电脑作跳板,对其它目标发起ddos攻击。
2012年,木马作者停止了对于“暗黑彗星”木马的更新,最新版本停留在541,但是目前仍有大量攻击者使用该工具进行网络攻击。
根据安全御见情报中心分析,得到darkcomet(“暗黑彗星”木马)国内感染态势分布,感染率最高的为广东、浙江和河南,分别为218%,1385%和855%。
三 关于darkcomet“暗黑彗星”远程控制木马
darkcomet“暗黑彗星”木马是款古老的远程控制木马,常见通过鱼叉邮件传播,作为攻击rat(远程控制管理的简称),功能十分强大。跟其它远程控制木马一样,darkcomet有自己一套传输协议,数据收发时都会进行加解密,确保顺利通信。
安全御见情报中心动态行为报告如下:
四 安全建议
1 及时使用电脑管家更新系统补丁,以防漏洞攻击,同时不要打开来历不明的邮件附件;
2 通过正规的渠道下载软件;
3 保持杀毒软件开启。
五 威胁情报(部分ioc如下)
ip:
1972116146
domain:
pinols999hoptoorg
jeffyunqhoptoorg
jeffallen247hoptoorg
jeffhaz305hoptoorg
niogem117ddnsnet
fuhrerhomepcit
amentocashoutshoptoorg
md5:
593602cdbd3ad923e32a00d36c33a58c
4d7fb5d2e4949fd1bccb6d978cfad13d
6269136faae122cfc41d6ab27285d038
08e91e485074bf4425b7c31b3ec079b3
0ef73c6018b794d135af0604f56f50a9
ab4f5f1f37650f856d894285f7b6c77b
184ae65cae6fbbcec9e42ab10a415287
b319a6aba664394b55884419162119f3
a8efae45288f2dcbf84e6eb5c989322d
027c135d7a3220dd87abe44f9619010f