背景
特别是最近退税月的到来,这些团伙开始重点攻击金融、证券等行业,对财务人员投放恶意程序。一旦控制了相关行业从业人员的主机,他们会冒充受害者,通过远程操作受害主机中的即时通讯软件,进行更为广泛的传播。这些攻击的目标主要是公司内部的财务或信息人员,目的是进行诈骗,窃取资金或获取敏感信息。
事件概述
攻击方式
-
通过微信、QQ、Telegram等软件为主要传播途径。 -
通过SEO广告伪造虚假网站进行传播。
-
通过邮件进行鱼叉式钓鱼攻击,引导受害者点击页面,随后页面自动跳转下载传播。
-
通过钓鱼网站获取用户账户和密码。
攻击载荷
|
文件名 |
MD5 |
描述 |
|
【税】详情内参6041.exe |
D92AA36C3898518A920C2B01C1E3628A |
UPX打包的Shellcode DownLoader |
|
电子普票.rar |
E07E74A24AB2C536FA03E5A6035515D0 |
压缩包,包含SE壳保护的EXE |
|
setup税企查_6037.exe |
EA551F62E03DE682A7F5060CE19A34AE |
Shellcode DownLoader |
|
查阅8080.exe及时查收6022.exe |
3EB270F628533A2A9E8AFADCDFB418F2 |
UPX打包的Shellcode DownLoader |
|
bvxaw查看_6044.exe |
60A249983E44D97C8C9BAB6DE78E0E5C |
Shellcode DownLoader |
|
CPDF查询.exe |
9BABB3476BD72970C94F16E76C5B2776 |
QT库编写的EXE |
|
电子普票.exe |
6E0C4BB7527B662C7494B53AC521DC6F |
SE壳保护的EXE |
|
操作管理系统7.exe |
A1B2A01F8155D0A81E71AC9609A4FC88 |
MinGW编译的EXE |
|
yajkloer6008.exe |
8BA69B846369CF0CD11A939EFA20CA6F |
UPX打包的Shellcode DownLoader |
|
查阅6047.exe |
2B2690881F0030510504113BAF20831B |
Shellcode DownLoader |
|
阅读6022.exe |
13F784B718E0D45057B628F504A11235 |
UPX打包的Shellcode DownLoader |
|
附件setup_6023.exe |
F8B7588119F493DD5D6ED7BBC1515FCF |
TMD壳保护的EXE |
|
系统.rar |
206C876BC5DA03934B4295778CDFADF8 |
包含恶意EXE的压缩包 |
|
资料.rar |
EB0B2ED8FE7948F90D2E2FD25B49D7FC |
压缩包,包含SE壳保护的EXE |
|
终端安全2402.zip |
60E7BC6B8C8A5AC606A4DDC5E9312B53 |
压缩包 |
|
B0020240003026.exe |
80A25D5809F4B601CF6D39804AB5C164 |
.net编写的恶意EXE |
|
ssetup查询_6041.exe |
4CCAA164696A115BFC3C633CDDC6C520 |
Shellcode DownLoader |
|
setup查看_6036.exe |
911ABF11B94191202F69ABC4760C2145 |
Backdoor |
|
电子发票.exe |
7AC98B72C71A69E3B0E03766F10D99F3 |
SE壳保护的EXE |
|
SDADSA查看_322116.bat |
ABC459C8C3E6577FCC4BCD58D463525A |
UPX打包的Shellcode DownLoader |
|
setup下载名单目录6001.exe |
6072310E460BB41FB1A0E5EA9F16E33C |
Shellcode DownLoader |
|
setup查看-8002.exe |
0554194A067B634D293F171847AB1FCF |
UPX打包的Shellcode DownLoader |
|
操作管理系统9.exe |
6713BD2054AC26736AC1459C83593347 |
DownLoader |
|
操作管理系统2.exe |
A1B2A01F8155D0A81E71AC9609A4FC88 |
MinGW编译的EXE |
|
2024税务总局关于企业和个人所得税政策.rar |
E34397A0BB0A9C8B0198C64DC6F4BA5F |
压缩包,里面包含Shellcode DownLoader |
|
查阅8080.exe |
C29F761779C5745F3CD0A9981A133F4C |
UPX打包的Shellcode DownLoader |
|
setup查=8002.exe |
59CCDCAFB91DBCA366098A1FC91D2A1E |
UPX打包的Shellcode DownLoader |
样本分析
DownLoader
首先攻击者通过邮件、即时通讯等工具向受害者发送钓鱼链接,引导受害者访问钓鱼链接。钓鱼链接中嵌入了JavaScript脚本,在3秒后会自动跳转新链接进行下载。
下载的Shellcode DownLoader通常被UPX打包处理,可以规避部分静态特征。
脱壳后可以看到代码相对简单,下载shellcode后随即进行APC注入。
注入的shellcode前端为PE加载器,负责把后端的DLL加载到内存中。
加载的dll会在DllMain中调用导出函数hanshu,实现恶意功能。
创建注册表项HKEY_CURRENT_USERConsoleqweasd321zxc,写入Shellcode,后续该段Shllecode被作为后门启动。
随后释放白程序QQgames.exe到公用的下载目录,并判断当前系统进程中是否包含杀软主进程360Tray.exe,以此进入不同的分支。
若不存在,在公用文档目录下创建随机目录,拷贝白程序QQgames.exe到随机目录,并释放恶意UnityPlayer.dll到该目录,并将这些文件设置为隐藏属性。
通过COM的方式在同目录下创建白程序QQgames.exe的lnk文件,并添加注册表启动项,进行持久化。
读取注册表项HKEY_CURRENT_USERConsoleqweasd321zxc的 Shellcode,远线程注入Shellcode到explorer.exe进程,启动下一阶段。
若存在杀软主进程360Tray.exe,则会在用户桌面目录下创建隐藏目录TCLS,并写入“Shanghai Changzhi Network Technology Co,. Ltd”签名的白程序,同样使用COM来为其创建QQ.lnk文件。然而在实际分析过程中,该白程序的DLL依赖并没有下载,导致无法正常运行。另外该签名对应的产品为‘雷电安卓模拟器’,此前有黑产团伙使用模拟器绕过核晶防护的案例,推测此举也是为了绕过杀软的核晶防护。后续内容则与上面相同,注入Shellcode到explorer.exe进程。
Shellcode
通过白利用持久化启动的恶意UnityPlayer.dll同样使用UPX加壳,并伪造了NetEase的数字签名。
其功能与同样是读取注册表项HKEY_CURRENT_USERConsoleqweasd321zxc的 Shellcode,远线程注入Shellcode到explorer.exe进程,启动下一阶段。
注入的shellcode同样只是一个Loader,并且shellcode的代码复用了之前下载的shellcode的大部分代码,说明攻击者自实现了一套完整的shellcode框架。
后续读取存放在注册表用户SID键值下1BBBC4BA的Shellcode执行。该段shellcode同样是个Loader,解密Shellcode后端的DLL并加载到内存中,并调用DLL的导出函数login。
BackDoor
该后门为魔改后的Gh0st远控,包含截屏、按键记录、剪贴板记录、远程命令执行、信息窃取等多种功能。并在C:ProgramData下创建子目录1BBBC4BA,并创建子目录“银行”和“微信”,其中“微信”文件夹中会存放屏幕截图。
C2地址在注册表项HKEY_CURRENT_USERConsoleqweasd321zxc的 Shellcode末尾。可以发现C2地址8002.anonymousrat8.com的前缀“8002”与钓鱼网站下载的恶意文件“setup查=8002.exe”相对应。表明该黑产团伙其内部应该已经形成了体系,正在批量制造与投放恶意文件,并通过C2域名的前缀来进行区分。
部分远程控制指令。
溯源关联
|
DGA域名 |
|
|
dzpjupt.com |
xhsnue.cn |
|
vovsl.com |
jdihfzlqzq.com |
|
jxxgj.shop |
jdmklsr.cn |
|
knckz.com |
ifnqf.cn |
|
www.dianzifapiao22.cn |
hgshfhjghj.cyou |
|
fadpoo.shop |
mfaoqtu.com |
|
qouhv.ink |
byjzo.com |
|
peksb.cn |
chtct.ink |
|
dfsgdfhdfh.com |
ddiutei.shop |
|
aylnlfdx.shop |
ceijfekgereoltm.cn |
|
bleryuo.com |
www.fyhcc.com |
|
ehfof.shop |
fgdfhnvj.com |
|
idmsnyec.com |
lguva.com |
|
hgsgb.shop |
phqghu.vin |
|
dhenw.shop |
hehjv.shop |
|
hdsndye.cn |
dfhfgh.shop |
|
qqfnmasqq.bond |
bcgsmor.com |
|
shuiwucc03.com |
rqywh.shop |
|
www.rtgccv.com |
www.ikbgv.com |
|
hanshu1.edora.cn |
www.kkzlmmnkk99.com |
|
www.aokdemc.com |
xfirc.com |
|
gomfk.shop |
phqghume.com |
|
csfetg.shop |
edc.laoqilai007.com |
|
ekwvw.shop |
umeay.com |
|
fhjgutk.shop |
www.jdihfzlqzq.com |
|
qaz.laoqilai007.com |
peksb.cn |
|
srenzk.shop |
uiopk38j.top |
|
renzkyc.com |
dfhdhwweqw.shop |
|
dfyhushs.com |
gypsfadp.shop |
|
www.shuiwucc03.com |
dhfgf9.com |
|
www.dozcv.com.com |
www.weixindown.cc |
|
www.kjhgsllooo88.com |
|
此外,基于EXE的恶意载荷免杀性有限,该黑产团伙还使用bat脚本来下载执行Shellcode。
总结
防护建议
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
D92AA36C3898518A920C2B01C1E3628A
E07E74A24AB2C536FA03E5A6035515D0
EA551F62E03DE682A7F5060CE19A34AE
3EB270F628533A2A9E8AFADCDFB418F2
60A249983E44D97C8C9BAB6DE78E0E5C
9BABB3476BD72970C94F16E76C5B2776
6E0C4BB7527B662C7494B53AC521DC6F
A1B2A01F8155D0A81E71AC9609A4FC88
8BA69B846369CF0CD11A939EFA20CA6F
2B2690881F0030510504113BAF20831B
13F784B718E0D45057B628F504A11235
F8B7588119F493DD5D6ED7BBC1515FCF
206C876BC5DA03934B4295778CDFADF8
EB0B2ED8FE7948F90D2E2FD25B49D7FC
60E7BC6B8C8A5AC606A4DDC5E9312B53
80A25D5809F4B601CF6D39804AB5C164
4CCAA164696A115BFC3C633CDDC6C520
911ABF11B94191202F69ABC4760C2145
7AC98B72C71A69E3B0E03766F10D99F3
ABC459C8C3E6577FCC4BCD58D463525A
6072310E460BB41FB1A0E5EA9F16E33C
0554194A067B634D293F171847AB1FCF
6713BD2054AC26736AC1459C83593347
E34397A0BB0A9C8B0198C64DC6F4BA5F
C29F761779C5745F3CD0A9981A133F4C
59CCDCAFB91DBCA366098A1FC91D2A1E
217A1C0A5312E021C499022C4314560F
FFC396393179145D4D22ECC15D99180D
8BCC83AF7A586805825B2F8F96BF3871
1B7134BD8CAF2E766ED7FE34ACCD29B8
E6717D7DE1AAA7B444F09130293BD540
02AAD2790B101D359E5216F9397CCBA4
433553C3312A8CE026EF06E7FB96D0A0
89EBE236E1677698404F675F05E1A446
9BFA4D9B89E0DA09045B16A241147485
D90516EC8C964A1E5E981FE05213CB66
钓鱼地址
https://umeay.com/名单.bat
https://qqfnmasqq.bond/电子普票.rar
https://ehfof.shop/查阅8080.exe
https://jdmklsr.cn/详情内参 .exe
https://fhjgutk.shop/内容.zip
https://hdsndye.cn/setup税企查_6037.exe
http://www.jdihfzlqzq.com/B0020240003026.exe
https://hehjv.shop/查阅8080.exe
https://gomfk.shop/window(x64)_setup查阅_8888.exe
https://qaz.laoqilai007.com/uploads/做图.exe
https://peksb.cn/内参目录6048.exe https://dfsgdfhdfh.com/setup查阅_8080.exe
https://idmsnyec.com/CPDF查询.exe
https://srenzk.shop/setup查看6024.exe
https://rqywh.shop/SDADSA查看_322116.bat
https://qouhv.ink/111111111111111111111111321213123333333333_6041.exe
https://uiopk38j.top/大家好.zip
http://hgshfhjghj.cyou/资料.rar
https://rqywh.shop/SDADSA查看_322116.bat
http://hgshfhjghj.cyou/资料.rar
https://renzkyc.com/setup查阅6022.exe new
https://dfhdhwweqw.shop/查阅8080.exe
http://www.dianzifapiao22.cn/稽查名单.zip
http://dfyhushs.com/系统.rar
https://ceijfekgereoltm.cn/系统管理6.exe
https://bcgsmor.com/【税】详情内参6041.exe
https://gypsfadp.shop/setup处罚6047.bat
https://www.shuiwucc03.com/setup查看6030.exe
https://www.rtgccv.com/操作管理系统2.exe
https://dhfgf9.com/详情6022.exe
https://www.dozcv.com.com/操作管理系统9.exe
https://www.weixindown.cc/最新公布涉税企业名单(电脑版密码123).rar
https://www.fyhcc.com/操作管理系统7.exe
https://www.kjhgsllooo88.com/setup查=8002.exe new
http://www.aokdemc.com/setup下载名单目录6001.exe
Shellcode托管地址
http://8.134.35.180/123.conf
http://8.138.0.158/123.conf
http://8.138.18.215/123.conf
http://8.134.147.84/123.conf
http://8.134.142.170/123.conf
http://119.28.32.143/NTUSER.DXM
http://43.129.233.99//NTUSER.DXM
http://8.134.33.55/encrypt.bin
C&C
6016.anonymousrat8.com:6666
6022.anonymousrat8.com:6666
6034.anonymousrat8.com:6666
6037.anonymousrat8.com:6666
6041.anonymousrat8.com:6666
6044.anonymousrat8.com:6666
6047.anonymousrat8.com:6666
8002.anonymousrat8.com:6666
e38r11oa2y.yikeseiw.com:8099
wryuwr.top
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):近期使用“银狐”黑产工具针对财税人员的大规模攻击活动分析
