概述

近日，微步情報局監(jiān)測發(fā)現(xiàn)銀狐組織開始使用新的釣魚方式攻擊：攻擊者向用戶發(fā)送“拖欠合同款違約，請下載發(fā)票并轉(zhuǎn)發(fā)財務(wù)確認”相關(guān)內(nèi)容的郵件，并在郵件中內(nèi)嵌釣魚鏈接。用戶訪問該鏈接后，會跳轉(zhuǎn)到仿冒的發(fā)票下載網(wǎng)站，該仿冒網(wǎng)站制作精良，與常見的發(fā)票下載站點十分相似，具有很強的誘惑性。當用戶下載并運行發(fā)票文件后，主機將執(zhí)行后門木馬，繼而淪為被控制的“肉雞”。通過深入分析，我們研判認為該攻擊活動與友商發(fā)布的“游蛇”團伙在資產(chǎn)和木馬樣上存在較強的關(guān)聯(lián)性，可以認為是銀狐組織的新動向，詳情如下：

【資料圖】

銀狐組織自2022年9月份一直活躍至今，主要利用“白+黑”方式進行惡意載荷投遞，載荷以公開的Gh0st家族和AsyncRAT家族等遠程木馬為主，同時在資產(chǎn)上大量使用香港IP地址進行回連。

此次事件是我們首次發(fā)現(xiàn)銀狐組織使用釣魚郵件、釣魚鏈接以及仿冒網(wǎng)站，并誘騙用戶下載惡意文件的方式進行攻擊。

游蛇與銀狐組織使用的資產(chǎn)存在明確的重合性，同時在木馬樣本維度也呈現(xiàn)出較強的同源特征，我們研判認為可以歸因為同一黑產(chǎn)組織。

微步通過對相關(guān)樣本、IP 和域名的溯源分析，提取多條相關(guān) IOC ，可用于威脅情報檢測。微步威脅感知平臺 TDP 、本地威脅情報管理平臺 TIP 、威脅情報云 API 、云沙箱 S、沙箱分析平臺 OneSandbox、互聯(lián)網(wǎng)安全接入服務(wù) OneDNS 、安全情報網(wǎng)關(guān) OneSIG 、主機威脅檢測與響應(yīng)平臺 OneEDR 、終端安全管理平臺 OneSEC 等均已支持對此次攻擊事件和團伙的檢測。

2團伙分析

2.1團伙畫像

2.2攻擊特點

銀狐通過釣魚網(wǎng)頁誘惑用戶進行惡意文件的下載，網(wǎng)頁一般模仿為存放票據(jù)的網(wǎng)盤，如下圖所示，相關(guān)軟件的更新頻率也十分頻繁。

3樣本分析

3.1基本信息

銀狐使用釣魚郵件樣本進行釣魚，相關(guān)的釣魚郵件如下所示，跳轉(zhuǎn)到票據(jù)分享的釣魚網(wǎng)頁，誘導下載相關(guān)惡意文件后安裝執(zhí)行。

此外銀狐還偽裝成國內(nèi)某能源公司發(fā)送偽造的電子發(fā)票郵件，誘導受害者下載相關(guān)的惡意文件并執(zhí)行。

3.2詳細分析-樣本1

1.樣本訪問騰訊的ntp服務(wù)ntp5.tencent.com。獲取第一次時間，隨后sleep固定時間。再次訪問ntp服務(wù)。計算兩次時間的差值，判斷是否符合預設(shè)值。

2.樣本會判斷以下注冊表是否存在。

3.樣本根據(jù)注冊表查找系統(tǒng)使用的程序，會尋找是否存在3.5jc這個進程。如果沒有就不會執(zhí)行之后動作。

4.持久化，創(chuàng)建計劃任務(wù)。

計劃任務(wù)關(guān)聯(lián)的樣本路徑如下：

5.解密加密代碼。

6.創(chuàng)建線程執(zhí)行。

7.最終在內(nèi)存通過clr加載AsyncRAT后門。該樣本連接地址43.154.83.246:65530

3.3詳細分析-樣本2

1.樣本嘗試訪問360進程，并嘗試對其設(shè)置訪問令牌。

2.樣本將自己復制到Program Files\\MSXML 3.22文件夾內(nèi)，該種方式已在銀狐歷史使用的惡意載荷中出現(xiàn)非常頻繁。

3.樣本手動將ntdll在內(nèi)存中重載。

4.樣本下載后續(xù)的payload。

5.下載的數(shù)據(jù)是dll文件，手動加載調(diào)用其導出函數(shù)。

6.樣本會將此dll設(shè)置為服務(wù)。

7.服務(wù)會創(chuàng)建一個線程。

8.創(chuàng)建互斥體。

9.樣本對C2進行通信。

10.樣本發(fā)送上線包。

11.接收C2命令。

4關(guān)聯(lián)分析

4.1拓線信息

通過相關(guān)資產(chǎn)的拓線，可以發(fā)現(xiàn)該組織的資產(chǎn)大致分為兩類，分別為網(wǎng)盤釣魚類以及遠控組件類，如下表所示：

4.2溯源信息

友商不久前曾報道“游蛇”組織使用社工通信軟件、偽造的電子票據(jù)下載站和虛假應(yīng)用程序下載站等投遞惡意軟件的攻擊事件。結(jié)合此次事件中捕獲的相關(guān)資產(chǎn)和樣本進行深入分析，我們研判認為屬于銀狐組織調(diào)整投遞載荷的新攻擊動向，詳情如下：

1.游蛇組織與銀狐組織的資產(chǎn)存在重合性：我們發(fā)現(xiàn)游蛇組織的1個遠控類IP資產(chǎn)在2023年4月20日存在銀狐相關(guān)情報。

2.攻擊者掌握的域名資產(chǎn)xin3.xinkehu888.top當前正綁定在該ip上，同時我們發(fā)現(xiàn)該域名的字形與早期銀狐的域名資產(chǎn)vip.qiangsheng888.top十分相似，很可能為同一攻擊者注冊使用。

3.相關(guān)樣本詳情如下，可以發(fā)現(xiàn)在文件名，C&C相似度以及樣本釋放行為均十分相似，并經(jīng)過內(nèi)部深度分析，相關(guān)樣本的執(zhí)行方式均與銀狐一致。

綜上，結(jié)合資產(chǎn)側(cè)的特點和重合性以及樣本側(cè)的同源特征，判定兩伙組織屬于同一組織。

5行動建議

5.1 威脅處置

由于監(jiān)控到多種方式進入及樣本釋放方式，聯(lián)系相關(guān)技術(shù)人員進行針對性檢測及排查處置。

5.2 安全加固

根據(jù)相關(guān)組織的樣本名稱進行針對性防范，下載的工具由官網(wǎng)下載，并校驗其hash，相關(guān)微信傳輸文件不貿(mào)然點擊，首先進行沙箱檢測，避免進一步擴散。

參考鏈接

https://www.secrss.com/articles/54776

https://mp.weixin.qq.com/s/S314m8jszgLXiKpfMKW-cA

關(guān)鍵詞：