【文章摘要】“抓鸡狂魔”病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马(如Darkcomet,Njrat等)在全球范围内批量抓肉鸡。控制肉鸡后,收集用户隐私信息、机密文件或者发起DDoS攻击,对中毒用户危害严重。
一. 团伙介绍
“抓鸡狂魔” 病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马(如Darkcomet,Njrat等)在全球范围内批量抓肉鸡。控制肉鸡后,收集用户隐私信息、机密文件或者发起DDoS攻击,对中毒用户危害严重。
“抓鸡狂魔”团伙最早活动可追溯到2017年,最初使用Darkcomet进行抓鸡。在2018年上半年开始利用Word漏洞文档进行定向攻击。其中在2018年4月份开始,通过投递带有CVE-2017-11882等漏洞文档的鱼叉邮件(指针对特定目标,精心伪造的攻击邮件)发起攻击。
Darkcomet木马又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后,不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用中招电脑作跳板,对其它攻击目标进行DDoS攻击。
Darkcomet(“暗黑彗星”)木马国内广泛分布,感染率前三的省份为广东、浙江和河南。“抓鸡狂魔”团伙的木马控制服务器大多位于美国、法国,通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区的可能性较大。
二. 团伙图谱
通过腾讯安图高级威胁追溯系统,查询到“抓鸡狂魔”团伙的相关信息。
目前未追溯到该团伙国籍信息,其服务器所在地大部分在法国和美国,且通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区。
腾讯御见情报中心对“抓鸡狂魔”团伙长期跟踪,今年4月份,该团伙通过鱼叉邮件大量传播后门木马,异常活跃,之后热度有所下降。最近从9月开始,“抓鸡狂魔”团伙活动热度又有上升趋势。
通过分析发现目前“抓鸡狂魔”团伙使用的Darkcomet远程控制木马异常活跃。Darkcomet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。
2012年,木马作者停止了对于“暗黑彗星”木马的更新,最新版本停留在5.4.1,但是目前仍有大量攻击者使用该工具进行网络攻击。
三. 关于Darkcomet“暗黑彗星”远程控制木马
Darkcomet“暗黑彗星”木马是款古老的远程控制木马,常见通过鱼叉邮件传播,作为攻击RAT(远程控制管理的简称),功能十分强大。跟其它远程控制木马一样,Darkcomet有自己一套传输协议,数据收发时都会进行加解密,确保顺利通信。
四. 安全建议
IP:
pinols999.hopto.org
jeffyunq.hopto.org
jeffallen247.hopto.org
jeffhaz305.hopto.org
niogem117.ddns.net
fuhrer.homepc.it
593602cdbd3ad923e32a00d36c33a58c
4d7fb5d2e4949fd1bccb6d978cfad13d
6269136faae122cfc41d6ab27285d038
08e91e485074bf4425b7c31b3ec079b3
0ef73c6018b794d135af0604f56f50a9
ab4f5f1f37650f856d894285f7b6c77b
184ae65cae6fbbcec9e42ab10a415287
b319a6aba664394b55884419162119f3
a8efae45288f2dcbf84e6eb5c989322d
027c135d7a3220dd87abe44f9619010f
“抓鸡狂魔” 病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马(如Darkcomet,Njrat等)在全球范围内批量抓肉鸡。控制肉鸡后,收集用户隐私信息、机密文件或者发起DDoS攻击,对中毒用户危害严重。
“抓鸡狂魔”团伙最早活动可追溯到2017年,最初使用Darkcomet进行抓鸡。在2018年上半年开始利用Word漏洞文档进行定向攻击。其中在2018年4月份开始,通过投递带有CVE-2017-11882等漏洞文档的鱼叉邮件(指针对特定目标,精心伪造的攻击邮件)发起攻击。
Darkcomet木马又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后,不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用中招电脑作跳板,对其它攻击目标进行DDoS攻击。
Darkcomet(“暗黑彗星”)木马国内广泛分布,感染率前三的省份为广东、浙江和河南。“抓鸡狂魔”团伙的木马控制服务器大多位于美国、法国,通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区的可能性较大。
二. 团伙图谱
通过腾讯安图高级威胁追溯系统,查询到“抓鸡狂魔”团伙的相关信息。
通过对“抓鸡狂魔”团伙多条IOC进行分析,发现团伙常使用ddns.net,hopto.org,duckdns.org和zapto.org等动态域名,部分域名命名具有一定规则,如前缀jeff,如jeffyunq.hopto.org,jeffallen247.hopto.org等。然后通过IOC交叉关联和攻击手法分析,发现几起攻击事件高度可疑来自“抓鸡狂魔”团伙,如下图。
腾讯御见情报中心对“抓鸡狂魔”团伙长期跟踪,今年4月份,该团伙通过鱼叉邮件大量传播后门木马,异常活跃,之后热度有所下降。最近从9月开始,“抓鸡狂魔”团伙活动热度又有上升趋势。
(“抓鸡狂魔”团伙活动态势)
通过分析发现目前“抓鸡狂魔”团伙使用的Darkcomet远程控制木马异常活跃。Darkcomet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。
2012年,木马作者停止了对于“暗黑彗星”木马的更新,最新版本停留在5.4.1,但是目前仍有大量攻击者使用该工具进行网络攻击。
根据腾讯安全御见情报中心分析,得到Darkcomet(“暗黑彗星”木马)国内感染态势分布,感染率最高的为广东、浙江和河南,分别为21.8%,13.85%和8.55%。
Darkcomet“暗黑彗星”木马是款古老的远程控制木马,常见通过鱼叉邮件传播,作为攻击RAT(远程控制管理的简称),功能十分强大。跟其它远程控制木马一样,Darkcomet有自己一套传输协议,数据收发时都会进行加解密,确保顺利通信。
腾讯安全御见情报中心动态行为报告如下:
1. 及时使用腾讯电脑管家更新系统补丁,以防漏洞攻击,同时不要打开来历不明的邮件附件;
2. 通过正规的渠道下载软件;
3. 保持杀毒软件开启。
IP:
197.211.61.46
pinols999.hopto.org
jeffyunq.hopto.org
jeffallen247.hopto.org
jeffhaz305.hopto.org
niogem117.ddns.net
fuhrer.homepc.it
amentocashouts.hopto.org
593602cdbd3ad923e32a00d36c33a58c
4d7fb5d2e4949fd1bccb6d978cfad13d
6269136faae122cfc41d6ab27285d038
08e91e485074bf4425b7c31b3ec079b3
0ef73c6018b794d135af0604f56f50a9
ab4f5f1f37650f856d894285f7b6c77b
184ae65cae6fbbcec9e42ab10a415287
b319a6aba664394b55884419162119f3
a8efae45288f2dcbf84e6eb5c989322d
027c135d7a3220dd87abe44f9619010f
