概述

近日，微步情報(bào)局監(jiān)測(cè)發(fā)現(xiàn)銀狐組織開(kāi)始使用新的釣魚方式攻擊：攻擊者向用戶發(fā)送“拖欠合同款違約，請(qǐng)下載發(fā)票并轉(zhuǎn)發(fā)財(cái)務(wù)確認(rèn)”相關(guān)內(nèi)容的郵件，并在郵件中內(nèi)嵌釣魚鏈接。用戶訪問(wèn)該鏈接后，會(huì)跳轉(zhuǎn)到仿冒的發(fā)票下載網(wǎng)站，該仿冒網(wǎng)站制作精良，與常見(jiàn)的發(fā)票下載站點(diǎn)十分相似，具有很強(qiáng)的誘惑性。當(dāng)用戶下載并運(yùn)行發(fā)票文件后，主機(jī)將執(zhí)行后門木馬，繼而淪為被控制的“肉雞”。通過(guò)深入分析，我們研判認(rèn)為該攻擊活動(dòng)與友商發(fā)布的“游蛇”團(tuán)伙在資產(chǎn)和木馬樣上存在較強(qiáng)的關(guān)聯(lián)性，可以認(rèn)為是銀狐組織的新動(dòng)向，詳情如下：

銀狐組織自2022年9月份一直活躍至今，主要利用“白+黑”方式進(jìn)行惡意載荷投遞，載荷以公開(kāi)的Gh0st家族和AsyncRAT家族等遠(yuǎn)程木馬為主，同時(shí)在資產(chǎn)上大量使用香港IP地址進(jìn)行回連。

(資料圖片)

此次事件是我們首次發(fā)現(xiàn)銀狐組織使用釣魚郵件、釣魚鏈接以及仿冒網(wǎng)站，并誘騙用戶下載惡意文件的方式進(jìn)行攻擊。

游蛇與銀狐組織使用的資產(chǎn)存在明確的重合性，同時(shí)在木馬樣本維度也呈現(xiàn)出較強(qiáng)的同源特征，我們研判認(rèn)為可以歸因?yàn)橥缓诋a(chǎn)組織。

微步通過(guò)對(duì)相關(guān)樣本、IP 和域名的溯源分析，提取多條相關(guān) IOC ，可用于威脅情報(bào)檢測(cè)。微步威脅感知平臺(tái) TDP 、本地威脅情報(bào)管理平臺(tái) TIP 、威脅情報(bào)云 API 、云沙箱 S、沙箱分析平臺(tái) OneSandbox、互聯(lián)網(wǎng)安全接入服務(wù) OneDNS 、安全情報(bào)網(wǎng)關(guān) OneSIG 、主機(jī)威脅檢測(cè)與響應(yīng)平臺(tái) OneEDR 、終端安全管理平臺(tái) OneSEC 等均已支持對(duì)此次攻擊事件和團(tuán)伙的檢測(cè)。

2團(tuán)伙分析

2.1團(tuán)伙畫像

2.2攻擊特點(diǎn)

銀狐通過(guò)釣魚網(wǎng)頁(yè)誘惑用戶進(jìn)行惡意文件的下載，網(wǎng)頁(yè)一般模仿為存放票據(jù)的網(wǎng)盤，如下圖所示，相關(guān)軟件的更新頻率也十分頻繁。

3樣本分析

3.1基本信息

銀狐使用釣魚郵件樣本進(jìn)行釣魚，相關(guān)的釣魚郵件如下所示，跳轉(zhuǎn)到票據(jù)分享的釣魚網(wǎng)頁(yè)，誘導(dǎo)下載相關(guān)惡意文件后安裝執(zhí)行。

此外銀狐還偽裝成國(guó)內(nèi)某能源公司發(fā)送偽造的電子發(fā)票郵件，誘導(dǎo)受害者下載相關(guān)的惡意文件并執(zhí)行。

3.2詳細(xì)分析-樣本1

1.樣本訪問(wèn)騰訊的ntp服務(wù)ntp5.tencent.com。獲取第一次時(shí)間，隨后sleep固定時(shí)間。再次訪問(wèn)ntp服務(wù)。計(jì)算兩次時(shí)間的差值，判斷是否符合預(yù)設(shè)值。

2.樣本會(huì)判斷以下注冊(cè)表是否存在。

3.樣本根據(jù)注冊(cè)表查找系統(tǒng)使用的程序，會(huì)尋找是否存在3.5jc這個(gè)進(jìn)程。如果沒(méi)有就不會(huì)執(zhí)行之后動(dòng)作。

4.持久化，創(chuàng)建計(jì)劃任務(wù)。

計(jì)劃任務(wù)關(guān)聯(lián)的樣本路徑如下：

5.解密加密代碼。

6.創(chuàng)建線程執(zhí)行。

7.最終在內(nèi)存通過(guò)clr加載AsyncRAT后門。該樣本連接地址43.154.83.246:65530

3.3詳細(xì)分析-樣本2

1.樣本嘗試訪問(wèn)360進(jìn)程，并嘗試對(duì)其設(shè)置訪問(wèn)令牌。

2.樣本將自己復(fù)制到Program Files\\MSXML 3.22文件夾內(nèi)，該種方式已在銀狐歷史使用的惡意載荷中出現(xiàn)非常頻繁。

3.樣本手動(dòng)將ntdll在內(nèi)存中重載。

4.樣本下載后續(xù)的payload。

5.下載的數(shù)據(jù)是dll文件，手動(dòng)加載調(diào)用其導(dǎo)出函數(shù)。

6.樣本會(huì)將此dll設(shè)置為服務(wù)。

7.服務(wù)會(huì)創(chuàng)建一個(gè)線程。

8.創(chuàng)建互斥體。

9.樣本對(duì)C2進(jìn)行通信。

10.樣本發(fā)送上線包。

11.接收C2命令。

4關(guān)聯(lián)分析

4.1拓線信息

通過(guò)相關(guān)資產(chǎn)的拓線，可以發(fā)現(xiàn)該組織的資產(chǎn)大致分為兩類，分別為網(wǎng)盤釣魚類以及遠(yuǎn)控組件類，如下表所示：

4.2溯源信息

友商不久前曾報(bào)道“游蛇”組織使用社工通信軟件、偽造的電子票據(jù)下載站和虛假應(yīng)用程序下載站等投遞惡意軟件的攻擊事件。結(jié)合此次事件中捕獲的相關(guān)資產(chǎn)和樣本進(jìn)行深入分析，我們研判認(rèn)為屬于銀狐組織調(diào)整投遞載荷的新攻擊動(dòng)向，詳情如下：

1.游蛇組織與銀狐組織的資產(chǎn)存在重合性：我們發(fā)現(xiàn)游蛇組織的1個(gè)遠(yuǎn)控類IP資產(chǎn)在2023年4月20日存在銀狐相關(guān)情報(bào)。

2.攻擊者掌握的域名資產(chǎn)xin3.xinkehu888.top當(dāng)前正綁定在該ip上，同時(shí)我們發(fā)現(xiàn)該域名的字形與早期銀狐的域名資產(chǎn)vip.qiangsheng888.top十分相似，很可能為同一攻擊者注冊(cè)使用。

3.相關(guān)樣本詳情如下，可以發(fā)現(xiàn)在文件名，C&C相似度以及樣本釋放行為均十分相似，并經(jīng)過(guò)內(nèi)部深度分析，相關(guān)樣本的執(zhí)行方式均與銀狐一致。

綜上，結(jié)合資產(chǎn)側(cè)的特點(diǎn)和重合性以及樣本側(cè)的同源特征，判定兩伙組織屬于同一組織。

5行動(dòng)建議

5.1 威脅處置

由于監(jiān)控到多種方式進(jìn)入及樣本釋放方式，聯(lián)系相關(guān)技術(shù)人員進(jìn)行針對(duì)性檢測(cè)及排查處置。

5.2 安全加固

根據(jù)相關(guān)組織的樣本名稱進(jìn)行針對(duì)性防范，下載的工具由官網(wǎng)下載，并校驗(yàn)其hash，相關(guān)微信傳輸文件不貿(mào)然點(diǎn)擊，首先進(jìn)行沙箱檢測(cè)，避免進(jìn)一步擴(kuò)散。

參考鏈接

https://www.secrss.com/articles/54776

https://mp.weixin.qq.com/s/S314m8jszgLXiKpfMKW-cA

關(guān)鍵詞：