以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

逆向病毒分析 1年前 (2023) admin
477 0 0

近期毒霸安全团队监测到大量利用电子发票为诱饵的钓鱼攻击活动,攻击者通过发送大量钓鱼诱饵引导用户进入钓鱼站点。这些钓鱼站伪装成发票下载站,与平常人们开发票站点相似,稍有不注意很容易上当。这些钓鱼木马最终会在内存中执行gh0st远控木马,监视并操控用户电脑。

在对钓鱼站深入分析后发现,网站开设有30多个后台账号,这些账号不断上传木马文件,并保持持续更新,甚至一天更新多次,上传成功后可以生成分享链接,这些链接被用作钓鱼诱饵分发,其中单个诱饵最多的一天下载量达3000多次,受影响用户甚广。通过对攻击者使用的钓鱼平台源码、C2服务器操作日志、恶意代码归因以及攻击技术手法等维度综合判定,我们认为幕后组织为一群盘踞在境外东南亚地区的黑产组织,具有中文语言背景,长期针对国内企事业单位,发动定向钓鱼、电信诈骗等网络攻击活动。

其中一个钓鱼页面:

http://www.siyike[.]work/#/share/69cc0f49b08f4a4a9e86

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

攻击流程

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

详细分析

钓鱼样本23554001.rar 打包了一个可执行程序23554001.exe。该样本执行后调用UrlDownloadToFile函数下载后阶段payLoad,并存放对应目录,最后执行“C:programdatathunderupdateLiveUpdate.exe”。

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

下载文件对应关系如下。

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

LiveUpdata.exe 是利用LOLBins免杀技术,这个文件是一个XShell、Xftp、系列工具的更新程序,它运行后会读取当前目录下同名的LiveUpdate.dat文件。LiveUpdate.dat是zip压缩文件使用内置密码解压。压缩包中包含一个_TUProj.dat文件,该文件实际是一个包含Lua脚本的文件。攻击者在lua中嵌入了shellcode,当LiveUpdata.exe对LiveUpdate.dat解析成功后Lua脚本得到执行。

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

shellcode执行后会读取同目录下的xml,实际为修改了pe头的dll文件,对pe头修补后在内存中加载执行。在Thunderupdate目录和Thunder目录下各有一个xml文件分别为两个不同payload。Thunder目录下的导出名为libe.dll, Thunderupdate下的为Server22.dll

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

libe.dll的功能比较简单主要是把c:programdatathunderLiveUpdate.exe 通过COM接口注册计划任务。Server22.dll为修改版gh0st远控,C2地址从c:programdatasetting.ini 文件读取。该远控功能强大有接近70个控制码,除了常规的文件、注册表操作, 截屏, 远程控制,键盘记录,录音外,命令执行外,还会强制清理用户浏览器数据让用户重新输入网站凭证,以便截取用户输入。部分控制功能如下:

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

从URL“http://my.xindajiema[.]info/picturess/2023/221.100.txt”中发现下载的内容中”61[.]160.221.100“的IP后两段与文件名”221.100.txt”相同,我们推测还存在大量其他的C2地址,对ip地址后两段生成字典对该路径爆破,共获取到有效C2地址203个,这些C2在ti.duba.net平台中查询可以关联到大量同类型样本。据此我们可以看出该组织的基础设施规模非常庞大。

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

钓鱼站点分析

钓鱼站点使用网盘类web程序搭建,进入后台和数据库后发现,根据第一条上传记录推测站点创建于2023-01-25日前。

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

钓鱼站点有30多个账户,不同的账户每日都在上传钓鱼文件,在其中一个账户后台可以看到近期的上传记录,点击分享便可以产生一个分享页也就是文章开始提到的钓鱼页面。

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

上传文件按下载量排序显示2023-03-15日上传的23554003.rar文件下载最高达3000次,该站点在两个月的时间里共上传了70多个诱饵文件。

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

在排查过程中还发现攻击者SSH连接IP来自老挝博胶省, 设备是中文环境语言 zh_CN.UTF-8 。

以发票之名,盘踞境外黑产组织发起的钓鱼活动分析


总结

近些年来钓鱼攻击越来越频发,个人信息的泄露也在一定程度上助推了这些活动更加具有针对性,发票类型钓鱼的目标大多都是企事业单位的财务人员,结合攻击者所在的东南亚地区,也让我们联想到诈骗活动。一旦攻击者发现是高价值目标便会持续监视用户的一举一动,那将毫无隐私可言,各种社交聊天信息和机密信息都将暴露,攻击者甚至可以操纵用户的微信、QQ为受害用户定制化诈骗场景。由于攻击组织在境外,一旦有资金损失要追溯也是非常困难。防范建议:不要轻易点击陌生邮件中的链接或下载附件,尤其是来自不信任或不熟悉的发件人。下载文件时要仔细核对文件和来源信息,同时开启毒霸的内存防护也可有效阻断此类攻击。

IOC:

1f48ba6ce347cfba4882e70087ce6887

http://www.siyike[.]work

http://my.xindajiema[.]info

61.160.221.100



原文始发于微信公众号(鹰眼威胁情报中心):以发票之名,盘踞境外黑产组织发起的钓鱼活动分析

版权声明:admin 发表于 2023年4月18日 下午7:34。
转载请注明:以发票之名,盘踞境外黑产组织发起的钓鱼活动分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...