新威胁组织DarkHydrus针对中东政府发起钓鱼攻击

据研究人员发现一起基于新型文件类型（.iqy）的有针对性的攻击活动，至少有一个位于中东地区的政府机构被作为了攻击目标。本文对其进行分析：

DarkHydrus使用含有密码保护的.RAR文件的鱼叉式钓鱼邮件来感染目标。.RAR文件含有一个含有URL的.IQY文件，IQY文件是Excel Internet Query file。默认情况下，当Excel打开并执行IQY文件后，Excel会从IQY中的URL处提取内容，直到出现弹窗告警为止。下面先看一下IQY文件：

当IQY文件执行时，Excel会从url的web服务器上获取一个releasenotes.txt文件。下面看一下IQY文件执行时的动态分析：

在文件执行时，Excel会弹出运行iqy文件可能会存在的安全威胁告警消息，点击Enable（开启）后才可以继续运行。

但是，在这次的攻击活动中，该组似乎使用了我们称为RogueRobin的基于PowerShell的自定义有效负载。

攻击分析

攻击者在7月15日到16日之间发送了鱼叉式网络钓鱼电子邮件。每封电子邮件都附带有一个受密码保护的RAR压缩包文件，名为“credential.rar”。如下图所示，电子邮件的正文是采用阿拉伯文编写的，要求收件人解压RAR压缩包并查看其中名为credential.iqy的文档，该消息同时附录了打开RAR存档所需的密码123456。而RAR文件则包含一个恶意的. iqy文件，名为“credential.iqy”。

图1钓鱼电子邮件中的邮件正文 

翻译这些阿拉伯文含义为：

你好

请查收并查看附件

非常感谢

密码：123456

有效负载分析

恶意载荷credential.iqy的SHA256为：

cc1966eff7bed11c1faada0bb0ed0c8715404abd936cfa816cef61863a0c1dd6

这个.iqy文件将默认由Microsoft Excel打开。一旦打开，它将在使用文件中的URL获取远程数据，并保存在工作表中。 默认情况下，Microsoft Excel不允许从远程服务器下载数据，会通过显示对话框询问用户的同意：

打开.iqy文件弹出的安全通知 

通过启用此数据连接，用户允许Excel从.iqy文件中的URL里获取内容。那么包含在releasenotes.txt文件的公式Excel将其保存到工作表中的“A0”单元格。

看一下releasenotes.txt的内容：

该公式会使用命令提示符运行PowerShell脚本，而该脚本尝试下载并执行在URL： http：// micrrosoft .net / winupdate.ps1上托管的第二个PowerShell脚本。 同样的，Excel不会直接执行命令，但会在用户同意后通过以下对话框后执行此操作：

 用于确认远程数据访问的对话框 

这个名为winupdate.ps1的脚本就是我们称之为“RogueRobin”的负责进行攻击的主要有效负载。

已有研究人员找出了恶意软件使用的反分析方法，保存在Sandbox()函数中：

钓鱼邮件

还有一些网络攻击者会携带恶意附件的网络钓鱼电子邮件，而主要是针对与工业生产相关的公司和组织。

网络钓鱼电子邮件伪装成合法的商业报价，主要发送给位于俄罗斯的工业公司。每封电子邮件的内容都反映了受攻击机构的活动以及接收电子邮件的员工的工作类型。

这些攻击中使用的恶意软件安装了合法的远程管理软件——TeamViewer或Remote Manipulator System / Remote Utilities（RMS）。这使攻击者能够远程控制受感染的系统。网络攻击者使用各种技术来屏蔽系统中安装的恶意软件的感染和活动。

在大多数情况下，钓鱼电子邮件都有与财务相关的内容;附件的名称也表明它们与财务有关。具体来说，一些电子邮件声称是大型工业公司的招标邀请。

恶意附件可能会被打包到压缩包中。某些电子邮件没有附件，在这种情况下，邮件文本旨在引诱用户点击链接，从而导入外部资源并从这些资源下载恶意对象。

以下是针对某些机构的攻击中使用的网络钓鱼电子邮件示例：

 钓鱼邮件截图

上述电子邮件是代表一家知名的工业组织发送的。发送邮件的服务器域名类似于该组织官方网站的域名。电子邮件附有一个压缩包，压缩包受密码保护，密码可以在邮件正文中找到。

总结：

即使使用简单的技术和已知的恶意软件，威胁行为者也可以通过熟练的使用一些合法的远程管理软件来掩盖恶意代码来完成攻击。远程管理功能使犯罪分子能够完全控制受感染系统，因此攻击方案不仅限于盗窃金钱。

建议避免打开您收到不需要的电子邮件，并且不打开来自未知发件人的电子邮件附件。我们强烈建议您仔细分析您收到的不需要的电子邮件，并且不要从未知发件人下载电子邮件附件。 恶意软件可以在网络上以多种形式伪装自己，所需的只是一次点击来触发感染。