近期钓鱼团伙相关样本预警——第一弹

近期奇安信病毒响应中心在日常运营工作中，发现针对“发票”类关键字的钓鱼事件开始增多。情报层面显示该团伙为新出现团伙（不排除老团伙使用了新设施），该团伙把装有钓鱼文件的压缩包存放在HFS服务器或共享网盘上，通过邮件、IM等方式，诱导受害者下载执行这些伪装成发票的钓鱼文件，该团伙所用C2地址均为ip地址形式，暂未发现样本中直接使用域名的情况。

该团伙疑似境内团伙，某些函数名和关于配置的变量均为中文，样本的符号路径带有与免杀相关的信息，如“F:核晶过核晶1核晶5x64Release核晶5.pdb”和“F:免杀MFC免杀7x64Release免杀7.pdb”。根据已知的情报分析，该团伙并非定向的攻击某个企业或者行业，而是采用广撒网的方式，因此中招者众多、且中招企业之间也未发现关联。

钓鱼文件运行后会从黑客的HFS服务器下载并运行具有某个特定名称的免杀后门加载器并运行，该加载器会从黑客的另一个ftp服务器下载同名的恶意载荷解密运行，该载荷为开源dotnet后门DCRAT的修改版，该后门可以窃取被攻击者计算机上的各种机密信息，包括各种软件的凭据、用户名、密码、浏览器的历史记录、键盘的输入记录、剪切版的内容，还具有实时的屏幕截图和各种远程控制的能力。该团伙拥有多个c2服务器，包括HFS服务器，ftp服务器和搭载DCRAT服务端的服务器。

此外预告一下，本周奇安信病毒响应中心初步预计分三弹发布近期活跃的钓鱼家族（其余两个钓鱼团伙正在整理中），敬请关注我们的公众号更新。

样本md5：a24488a38211b37a269bcbbd6b3f932e（初始的钓鱼样本）

文件名：票据0327128612043.exe

样本md5：8f314dbbc0d0016a9423587767d787f1（木马加载器）

文件名：123.exe

以上样本均为mfc程序。

针对该团伙的基础设施进行聚类，其服务器C2 IOC列表见本文最后。

初始的样本运行后会通过修改注册表关闭uac告警。

然后从黑客的hfs服务器103.231.254[.]62下载了3个文件，其中MSDS.exe为下一阶段木马加载器，被复制到C:\Program Files (x86)\PIA_S5_Proxy_cata目录下并重命名为123.exe。main.exe为PIA Proxy自解压安装包，libcurl.dll为黑客用来替换PIA Proxy原始dll的一个黑dll，作用就是启动当前路径下的123.exe。

HFS服务器中的文件见下图，还有一个www目录，里面存放的就是钓鱼压缩包。

木马加载器被运行后会通过ftp协议从服务器获取下一阶段载荷，相关ip及用户名密码和下载的资源均以硬编码的形式存放在样本中，用户名和密码均为123。

在获取资源之前会进行反虚拟机和沙箱的操作，遍历temp目录的文件，当文件数小于10时，程序会退出。

该后门从ftp服务器中下载的载荷为MSDS.bin

对该载荷进行解密后，最终可以从内存中dump出一个dotnet后门程序，该程序经反编译后与github上的开源c#后门DCRAT基本一致。

后门反编译后如图

解密后，该后门的配置属性如下，回连103.231.252[.]62:8848

登录黑客的ftp服务器后，发现多个以bin为后缀的文件。

通过分析该家族其他样本，发现每一个bin文件都包含一个被加密的DCRAT后门，这些后门的配置都不相同，不同的木马加载器会加载ftp服务器中不同的bin文件。

以下是加载了11lugongjiao.bin的木马解出的配置文件

该家族样本具备较强的免杀能力，目前天擎已支持对样本进行查杀。

HASH：

a24488a38211b37a269bcbbd6b3f932e

8f314dbbc0d0016a9423587767d787f1

C2:

103.231.252.62:8848

202.95.14.199:8848

103.231.254.62

45.151.135.235

47.242.89.34

43.137.15.104

103.148.186.105

103.251.113.116

162.14.197.20

154.39.252.24

162.211.180.79

38.45.124.106

104.233.228.116

60.223.174.171

43.152.225.81

1.14.103.49