通告编号:NS-2024-0005
| TAG: |
税务稽查、沙箱检测、微信劫持、ValleyRAT |
| 版本: | 1.0 |
事件概述
近期,绿盟科技CERT陆续接到多个行业客户反馈遭受微信钓鱼攻击,具体表现为中招主机通过微信群自动群发传播税务相关主题的钓鱼链接,受害者起始认为是由于使用手机端APP浏览了未知网页,导致感染病毒,经分析排查,确认原因为受害者办公主机安装的微信PC客户端被远控木马劫持所致。此类事件影响较为广泛,请相关用户提高警惕进行防范。
SEE MORE →
2样本分析
通过对钓鱼链接进行分析,发现目前点击用户数已逾千人,对远控木马及攻击者进行分析跟踪,发现攻击者使用了自主开发且具备多种对抗技术的ValleyRAT木马程序,同时为了躲避安全软件查杀,黑产团伙还频繁更新木马文件并更换C2地址。
2.1 一阶段样本分析
此木马采用了多阶段方式执行,以躲避安全软件查杀。其中一阶段样本为自主开发,包含的编译路径为:C:UsersRat5700Desktop远程管理系统4.0源码2022带后台桌面远程管理系统4.0源码ceshiReleaseInstall.pdb。
样本执行后,将从C2服务器下载DLL文件到目标主机内存中加载执行。首先会检查安全软件进程,并尝试通过进程提权,结束相关进程,随后将自身拷贝至当前用户的Documents目录。
尝试结束的安全软件进程主要为流行的国产装机软件,包括:360安全卫士、金山毒霸、腾讯电脑管家等。
该木马通过修改注册表,伪装成系统升级助手(System Upgrade Assistant)进行持久化驻留。
最终DLL文件通过进程注入方式启动执行,进程启动参数为msiexec.exe -Puppet。
2.2 二阶段样本分析
木马通过替换某深圳科技公司开发软件中的XZWidgetImp.dll文件,以DLL侧加载方式执行,并将主程序伪装为Edge浏览器进程。
msedge.exe通过加载XZWidgetImp.dll实现木马功能,通过读取DAT.dat文件,使用RC4算法进行解密,并加载到内存执行。
DLL文件运行后,首先会通过进程特征、内存及磁盘大小等信息,检测主机是否为沙箱环境。
根据DLL文件中命令特征,判断为ValleyRAT木马,该木马最早于2023年3月被研究人员捕获,早期主要通过钓鱼邮件进行传播。
3C2跟踪
攻击者为了躲避安全软件查杀,频繁更新其木马文件,同时使用了多个C2域名及木马下载IP,以防止被相关威胁情报产品检测。
攻击者使用的相关基础设施,目前在多个威胁情报平台均未被收录。
通过监测木马下载服务器,发现该木马文件几乎每天都会更新,判断目前点击钓鱼链接的用户已有1000余人。
4安全建议
-
增加员工安全意识培训,防范各类新兴的社交软件钓鱼攻击
-
及时更新威胁情报库,从网络流量对异常请求进行检测、阻断
-
安装具备HIPS功能的终端安全软件,并及时升级病毒特征库
5攻击IoC
|
攻击IoC |
|
swjc1.top |
|
ylsf3.top |
|
5jxp.top |
|
fen.xjbyee.com |
|
154.91.65.176 |
|
206.238.220.43 |
|
206.238.220.51 |
|
206.238.220.57 |
|
206.238.220.61 |
|
206.238.220.168 |
|
206.238.220.194 |
|
206.238.220.209 |
|
206.238.220.239 |
END
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文始发于微信公众号(绿盟科技CERT):【安全事件】年关将至,警惕以税务稽查名义的微信蠕虫钓鱼
