“抓鸡狂魔”病毒团伙活动报告

2018-11-07 来源:原创 作者:腾讯电脑管家
【文章摘要】“抓鸡狂魔”病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马(如Darkcomet,Njrat等)在全球范围内批量抓肉鸡。控制肉鸡后,收集用户隐私信息、机密文件或者发起DDoS攻击,对中毒用户危害严重。
一. 团伙介绍
“抓鸡狂魔” 病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马(如Darkcomet,Njrat等)在全球范围内批量抓肉鸡。控制肉鸡后,收集用户隐私信息、机密文件或者发起DDoS攻击,对中毒用户危害严重。

“抓鸡狂魔”团伙最早活动可追溯到2017年,最初使用Darkcomet进行抓鸡。在2018年上半年开始利用Word漏洞文档进行定向攻击。其中在2018年4月份开始,通过投递带有CVE-2017-11882等漏洞文档的鱼叉邮件(指针对特定目标,精心伪造的攻击邮件)发起攻击。

Darkcomet木马又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后,不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用中招电脑作跳板,对其它攻击目标进行DDoS攻击。

Darkcomet(“暗黑彗星”)木马国内广泛分布,感染率前三的省份为广东、浙江和河南。“抓鸡狂魔”团伙的木马控制服务器大多位于美国、法国,通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区的可能性较大。

二. 团伙图谱
通过腾讯安图高级威胁追溯系统,查询到“抓鸡狂魔”团伙的相关信息。
目前未追溯到该团伙国籍信息,其服务器所在地大部分在法国和美国,且通过攻击使用话术和样本资源信息分析,猜测该团伙位于欧美地区。

通过对“抓鸡狂魔”团伙多条IOC进行分析,发现团伙常使用ddns.net,hopto.org,duckdns.org和zapto.org等动态域名,部分域名命名具有一定规则,如前缀jeff,如jeffyunq.hopto.org,jeffallen247.hopto.org等。然后通过IOC交叉关联和攻击手法分析,发现几起攻击事件高度可疑来自“抓鸡狂魔”团伙,如下图。


“抓鸡狂魔”团伙常用钓鱼手法,比如鱼叉邮件、伪装正常程序以假乱真、美女图标程序等,而且利用已公开的漏洞来提高攻击成功率,在今年4月份通过投递cve-2017-1188,cve-2017-8759漏洞文档定向攻击。

腾讯御见情报中心对“抓鸡狂魔”团伙长期跟踪,今年4月份,该团伙通过鱼叉邮件大量传播后门木马,异常活跃,之后热度有所下降。最近从9月开始,“抓鸡狂魔”团伙活动热度又有上升趋势。
(“抓鸡狂魔”团伙活动态势)

通过分析发现目前“抓鸡狂魔”团伙使用的Darkcomet远程控制木马异常活跃。Darkcomet木马诞生于2008年,又称“暗黑彗星”木马,是国外有名的后门类木马。木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。

2012年,木马作者停止了对于“暗黑彗星”木马的更新,最新版本停留在5.4.1,但是目前仍有大量攻击者使用该工具进行网络攻击。

根据腾讯安全御见情报中心分析,得到Darkcomet(“暗黑彗星”木马)国内感染态势分布,感染率最高的为广东、浙江和河南,分别为21.8%,13.85%和8.55%。


三. 关于Darkcomet“暗黑彗星”远程控制木马
Darkcomet“暗黑彗星”木马是款古老的远程控制木马,常见通过鱼叉邮件传播,作为攻击RAT(远程控制管理的简称),功能十分强大。跟其它远程控制木马一样,Darkcomet有自己一套传输协议,数据收发时都会进行加解密,确保顺利通信。

腾讯安全御见情报中心动态行为报告如下:

四. 安全建议

1. 及时使用腾讯电脑管家更新系统补丁,以防漏洞攻击,同时不要打开来历不明的邮件附件;

2. 通过正规的渠道下载软件;

3. 保持杀毒软件开启。


五. 威胁情报(部分IOC如下

IP:

197.211.61.46


Domain:
pinols999.hopto.org
jeffyunq.hopto.org
jeffallen247.hopto.org
jeffhaz305.hopto.org
niogem117.ddns.net
fuhrer.homepc.it

amentocashouts.hopto.org


MD5:
593602cdbd3ad923e32a00d36c33a58c
4d7fb5d2e4949fd1bccb6d978cfad13d
6269136faae122cfc41d6ab27285d038
08e91e485074bf4425b7c31b3ec079b3
0ef73c6018b794d135af0604f56f50a9
ab4f5f1f37650f856d894285f7b6c77b
184ae65cae6fbbcec9e42ab10a415287
b319a6aba664394b55884419162119f3
a8efae45288f2dcbf84e6eb5c989322d
027c135d7a3220dd87abe44f9619010f

电脑管家 V16

全新上线 更轻更快