攻击者使用中东呼吸综合症(MERS)病毒的爆发作为诱饵,发送钓鱼邮件给日本大众传媒公司。攻击者使用了免费的雅虎邮箱账号轻易地躲过了反垃圾邮件过滤系统,复制了网上公开的信息引诱受害者打开邮件。
邮件标题是日语:“转发:中东呼吸综合症(MERS)的防范”,而附件名为“中东呼吸综合症(MERS)的防范.7z”
邮件中包含一个经过压缩的.CHM文件(CHM_ZXSHELL.B),即Windows帮助文件,文件会展示来自一个流行的日本信息网站上关于MERS的相关页面。这个.CHM文件会放出后门文件ZXShell,它会在后台运行,在针对性攻击中非常常见。
大量机密数据是动机
根据趋势科技观察到的情况,传媒公司和娱乐公司的网络中存在大量机密数据,使得黑客们有动机进行针对性攻击。在索尼影业的攻击中,黑客不仅获取了索尼员工的个人信息,还窃取了几部尚未发行的电影,公布了索尼影视高层的薪资。另外,传媒公司和娱乐公司会被用作宣传的喉舌,前阵子法国电视台TV5Monde的社交网络账号被黑,就被用作伊斯兰国(ISIS)宣传工具。
CHM帮助文件中的ZXShell
7z文件中包含的.CHM会显示关于MERS的信息,如下图:
在这个案例中,.CHM文件会释放后门ZXShell (BKDR_ZXSHELL.B),它会驻足在受感染的电脑中,等待攻击者发出命令。黑客可以利用这个后门寻找网络中的敏感数据。
CHM文件在网络攻击中越来越常见。它可以轻易绕过Windows的安全措施。虽然在攻击中使用CHM文件并不是个新方法,而且最近CryptoWall勒索软件也开始使用CHM文件,但到现在为止很少被用于针对性攻击中。而ZXShell后门则经常是利用微软Office和Ichitaro(日本文字处理软件)的exp。这次事件中的黑客展示了另一种感染目标机器的方法,无需要用exp。用户可能会提防那些恶意网站,但不注意通过邮件发送的这些帮助文件。
以下是事件相关的SHA1校验值:
e6cc91c0358db79048fce805fae90f9023f789f7
855bb7e85353fb78c089ef44cc24ce832dd4feaf
3c5329b36ffd13b83679c848a4797f8eeffef521
7e9b6575c672be0ffba7f647ba59d979a2843e4d
