RustDog钓鱼木马再升温，360日均阻断数千次

在刚刚过去的2023年上半年中，针对财务人员的RustDog钓鱼木马始终活动频繁。近期，360数字安全大脑再次监测到该钓鱼木马活跃度进一步提升——据360终端安全产品的大数据日志统计——360各类安全产品日均阻断该木马攻击已达数千次。

RustDog钓鱼木马因其早期版本由Rust语言编写而得名。其背后的团伙是一个专门针对企业员工发起钓鱼攻击的组织，该团伙一般以涉税相关内容作为钓鱼文件标题（如“2023减免企业及个人所得税最新标准”）来迷惑潜在的攻击目标，同时擅长利用powershell、cmstp等LOLBINs完成部分入侵功能。而一旦攻击成功，攻击者会在受害机器中植入远控木马，对受害用户进行远程控制并伺机窃取用户数据。

最近，该团伙再次通过钓鱼网页、即使通讯工具、邮箱等传播方式进行大范围攻击。攻击者通过上述媒介构建的虚假页面诱导用户点击钓鱼链接，再通过连接跳转至后门木马的下载链接。一旦用户中招，攻击者便会通过后门木马下发远控程序，进而控制受害者的电脑。此外，攻击者还会利用远控木马控制用户的即时通讯软件再次传播木马，对用户造成极大的连带损失。

图1  攻击者伪造的虚假“诺诺网”钓鱼页面

近期传播的该家族木马名称中时常有类似于“fapiao (1).zip”、“2023-07-07 清 单.rar”、“关于公司薪资调整通过相关部门审核.exe”等的字样。同时，木马在传播对抗中也使用到了多款远程控制工具——包括Gh0st远控变种、修改版向日葵远程协助工具和超级网控等，并在此基础上频繁更新钓鱼页面。

图2  攻击者伪造的虚假“国家税务总局”钓鱼页面

下面以近期捕获到的该家族木马的其中一个为例，进行技术层面的分析：

样本MD5：4b45026b5faeb8d744f0b141a5772fee

图3  样例样本图标

木马一经启动，首先会完成一系列检查与初始化。这之后，代码会连接CC服务器：43.132.194.41:1150

连接成功后，木马会尝试接收从该服务器中下放的payload内容并进行加载执行。执行后的payload会在内存中解密出一个dll文件——该dll则是一个具有完整功能的远控木马。而有趣的是，在该dll运行时，其代码会检测360Tray.exe进程是否存在——如果存在，则会弹一个应用程序错误的窗口，用于迷惑用户。

图4  检测“360Tray.exe”的功能代码

图 5  当检测到360Tray.exe存在时弹出的迷惑弹窗

如果该程序在启动时参数个数为1或者是带有-Puppet字符串，则会把payload注入到notepad.exe或者explorer.exe进程。

图6  参数决定进程注入功能

此外，该样本还会把自己复制到以下位置并将文件属性为隐藏，同时在注册表中将该路径添加为自启动项：C:ProgramDatarundl123.exe

而到了具体的功能部分，该木马首先会获取用户机器的基本信息信息——这其中包括操作系统信息、CPU信息、内存信息等，并把获取的这些信息经过加密后发送到远程机器上。

图7  获取用户机器基本信息

远控的控制通信也是经过了简单加密的，而在分析人员对其进行解密之后可以看到该木马所具备的控制功能均属于比较常规的远控指令。

图8远控功能代码

表1  远控控制功能

木马通过0x83命令功能，首先会获取temp目录下”ldr”开头的文件，然后复制向日葵配置文件到如下路径中：C:ProgramDataOraySunloginClientLite

之后启动向日葵远控——利用这种替换配置的方法，就实现了对向日葵程序的控制。

图9  利用部署自定义配置文件实现对向日葵软件的控制

该团伙千方百计进行免杀传播，并向财务相关人员的设备植入木马，主要是为了窃取用户隐私数据，进而为进一步的诈骗提供帮助。攻击者不仅会通过一般的钓鱼方式进行传播，还会利用受害者的即时通信软件来发送钓鱼、欺诈类信息，政企单位应对此类事件提高警惕，防范该木马的攻击。

 鉴于RustDog钓鱼木马的活跃，360建议广大政企机构建立全面的数字安全防御体系，并安装360终端安全产品拦截、查杀此类木马。

图10  360安全大脑拦截RustDog木马