2019年2月起，安天CERT发现大量由境外IP向我国用户邮箱发送的钓鱼邮件，邮件主题涉及“发票”、“采购”、“订单”等关键字，并且在邮件中包含同样关键字的恶意附件。经分析，还发现了大量相关类似的钓鱼邮件，但多数以英文“invoice”为邮件关键字。我们认为，该类攻击事件可能是全球范围内进行的黑产活动，其针对不同国家的目标时可能会编写对应语言文字的钓鱼邮件。

攻击者通过邮件传播恶意附件，最终载荷为.Net语言编写并进行混淆的“NanoCore”^[1]远控木马。“NanoCore”是一款功能强大的远程控制程序（RAT），可以对目标主机的文件、屏幕、进程等进行操作，还支持扩展功能插件。该木马由美国阿肯色州的Taylor Huddleston编写并出售，该木马作者已于2018年2月被美国当局以创建和销售恶意软件罪判入狱33个月^[2]。

针对国内的钓鱼邮件主要有两类，一类的邮件主题为：“****采购订单”，附件名：“采购订单.7z”；另一类的邮件主题为“确认_发票****”，附件名：“发票支付.7z”。攻击者主要使用juliet@goldwick.com.au和daniel@splashcad.com作为发件地址。通过分析这两个邮箱所属公司网站的注册信息及页面内容来看，两个公司网站均为合法网站，均归属澳大利亚。攻击者使用的这两个邮箱，很可能是通过盗用、假冒或入侵网站后利用的邮箱。

goldwick.com.au是一家澳大利亚的珠宝批发商网站，目前网站运营正常。

splashcad.com是一家经营CAD产品的公司，网站位置和注册信息均在澳大利亚，网站状态正常。

该事件攻击的国内目标主要为电商平台、银行、高校等机构。其中收件人的邮箱地址基本是在网上公开过的邮箱，如公司的联系邮箱、客服邮箱、公开的个人邮箱等。这些邮箱疑似通过网页爬取而来，推测是大范围的撒网式攻击。

该事件相关邮件较多，邮件内容类似，投递的恶意载荷只是名称和哈希不同，其主要功能行为都完全一致，因此我们提取其中一个典型样本进行分析。

表3‑1 采购订单.exe样本标签

样本是一个.Net程序，它对部分字符串进行了混淆。程序入口点在MyApplication，其中调用了Form09，Form09中解密了资源文件w22B7azvmB2JvCA7N6HIBm8oMX….，该资源文件伪装成Bitmap格式。样本通过解密该资源文件，得到另一个.Net程序并执行，程序再次解密自身的资源文件，得到最终的NanoCore (1.2.2.0)版本的远控木马。

图3-1 程序入口点MyApplication

图3-2 加密的资源文件

解密并运行资源文件的具体流程如下：

图3-3 解密资源文件

解密算法为循环异或固定key：

图3-4 解密算法代码

从资源文件中提取出来的obj是一个.Net程序，原名CyaX.exe，样本标签如下：

表3-2 CyaX.exe样本标签

CyaX.exe运行后，再次解密自身资源文件YI3KSdM，得到NanoCore远控木马的PE文件，之后通过解析PE文件格式，取得入口点并执行：

图3-5 CyaX.exe反编译代码

vjYpuWOAjMO8sjLffqr4ri2是对YI3KSdM解密后，得到的PE文件：

图3-6 资源解密函数

解密函数的算法与图3-4一样：

图3-7 解密算法与第一次解密相同

对YI3KSdM解密后，就会得到NanoCore Client.exe远控木马， 它被作为参数层层传递，最终在以下位置对它进行PE解析，找到入口点执行。

图3-8 解密后的Nanocore木马

最终的NanoCore程序代码经过完全混淆以对抗逆向分析。通过原始项目名称可以看到木马版本号为1.2.2.0，木马最终连接远程C2：194.68.59.60:717。

图3-9 解密后的NanoCore远控木马反编译代码

被植入此木马的机器会出现以下文件特征：

图3-10 感染特征-衍生文件

图3-11 键盘记录存储文件

NanoCore是一个.Net framework 编写的RAT，首次出现于2012年，当前最新版本为1.2.2.0。NanoCore RAT的功能十分强大，它能够执行多种恶意操作，比如：文件操控、注册表编辑、进程控制、文件传输、远程命令执行、键盘记录、口令恢复等。

图3-12 NanoCore控制端界面

攻击者使用的C2服务器为194.68.59.60，通过关联分析发现新的样本和域名，经分析确认与此事件属于同一组织/行动所为，这些样本应为通用性全球范围传播的样本（英文文件名），从样本的生成时间和域名的解析时间可以看出该组织的攻击行动在持续活跃；从文件名称来看，其攻击活动可能是普适性（传统邮件钓鱼）而不是针对性的。

表4-1 相关域名

表4-2 相关样本

此系列攻击事件虽然与传统钓鱼邮件攻击手法类似，但其对国内的攻击目标单独构造了中文内容和文件名，且投递的样本是功能强大的远控木马，攻击成功后可能会产生严重威胁。同时需要我们警惕的是，不排除该事件可能像“乌克兰停电事件”^[3]一样采用“黑色能量”作为后续攻击的前期预置环节，我方应予以重视，做好排查防范工作，谨防后续攻击。

[1].Stratosphere Lab：What dowe know about NanoCore RAT? A review.

https://www.stratosphereips.org/blog/2018/9/7/what-do-we-know-about-nanocore-rat-a-review

[2].Bleepingcomputer：Nanocore RAT Author Gets 33 Months inPrison

https://www.bleepingcomputer.com/news/security/nanocore-rat-author-gets-33-months-in-prison/

[3].安天：乌克兰电力系统遭受攻击事件综合分析报告https://www.antiy.com/response/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage.html

[4].Symantec：NanoCore: Another RAT tries to make it out of the gutter

https://www.symantec.com/connect/blogs/nanocore-another-rat-tries-make-it-out-gutter

[5].Palo Alto Networks：Operation Comando: How to Run a Cheap andEffective Credit Card Business

https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business/