FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

逆向病毒分析 2年前 (2022) admin
1,477 0 0

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

1

 概述

近日,微步情报局监测发现,近期出现大量高仿 Telegram 中文版的钓鱼网站(搜索引擎中排名第二),下载恶意文件进行分析拓线后,确认该事件是微步情报局之前披露过的国内黑灰产组织 FinGhost 所为。

微步情报局近期通过威胁狩猎系统监测到该组织不仅针对 Telegram 聊天软件使用者,其最主要的目标是金融证券行业从业者,分析有如下发现:
  • 该组织使用钓鱼网站、社工文档和间谍软件为主的方式诱导用户安装病毒文件,从而实现肉鸡控制;

  • 该组织当前主要目标为金融从业者,但也存在利用 Telegram 等常用软件或流行新闻等间谍软件进行大范围传播的方式;

  • 该组织构造病毒文件使用多层壳嵌套(NsPack壳+VMP壳)的方式阻碍逆向分析,生成样本流程已形成模板化,最终的病毒文件为修改后的 Zegost 病毒变种,具备多角度窃密、控制和执行功能;

  • 通过关联分析,该组织曾于 2021年7月以来使用金融相关的社工文件传播病毒, C&C 为206.119.83.28。2022年2月到至今,该组织将病毒文件加 VMP 壳后重新投递,仍使用该 C&C 控制肉鸡;

  • 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。

2

团伙分析

2.1 团伙画像

根据微步情报局研究人员对该组织的长期跟踪及关联分析,发现该组织正处于发展阶段,主要针对金融证券,利用修改后的 Zegost 病毒发展肉鸡,从而进行违法犯罪活动。

团伙画像

特点

描述

平台

Windows

攻击目标

金融证券,Telegram用户,常用软件用户

攻击地区

中国

攻击目的

发展肉鸡,窃密和控制

传播方式

钓鱼网站、社工文档和间谍文件

武器库

VMP壳、修改版Zegost病毒

2.2 技术特点

该组织使用多种方式进行病毒文件扩散,包括钓鱼网站、社工文档和间谍文件等。

2.2.1 钓鱼网站

该组织配置高仿 Telegram 中文版的钓鱼网站,其中下载的 Telegram 中文版为内嵌病毒文件,部分钓鱼网站截图如下:

钓鱼域名

截图

病毒文件下载地址

telegrampc.org

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

https://download.telegrams.workers.dev/telegrampc.org

telegramapp.cn

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

https://download.telegrams.workers.dev/ telegramapp.cn

telegrammessenger.cn

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

https://download.telegrams.workers.dev/telegrammessenger.cn

经过关联分析,发现文件下载方式从最初的高仿 Telegram 域名(以 xyz 为后缀的顶级域名)下载更改为 Cloudflare 的 Workers 云平台文件下载,如下表所示:

钓鱼网站

文件下载地址Version 1(已失效)

文件下载地址Version 2

telegrampc.org

http://download.telegrampc.xyz/file/platforms/telegram_desktop.exe

https://download.telegrams.workers.dev/telegrampc.org

telegramapp.cn

http://download.telegramapp.xyz/file/platforms/telegram_desktop.exe

https://download.telegrams.workers.dev/telegramapp.cn

telegrammessenger.cn

http://download.telegrammessenger.xyz/file/platforms/telegram_desktop.exe

https://download.telegrams.workers.dev/telegrammessenger.cn

……

由于 Telegram 没有中文版,用户会使用搜索引擎搜索查找相关安装程序,该团伙针对这类用户,在必应搜索引擎做了相应的 SEO 优化,提高钓鱼网站的排名。在发现时,该网址已冲至第二位,如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

微步情报局对其长期跟踪发现,该组织只投放 Windows 版本的恶意文件,其余均跳转到正常的 Telegram 下载界面,如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
Windows 版本的恶意文件更新十分频繁,文件更新如下表所示:

Version

V1

V2

Sha256

206b2beb3e75daa09fd05d3579f78cf80fbbb7b

e9903e10a4926bd579e975593

3BDBA928CF1ADE15F3748D900B22D0B0D0D5

B4166A2CF43F918F4858961AB2EC

Name

Telegram_desktop.exe

tsetup.com

Size

36.83 MB

35.8 MB

C&C:port

150.242.219.151:8099

193.218.38.158:8080

由于存在浏览器安全判断以及杀毒软件的阻碍,该组织后期又增加了信任下载文件的弹窗提示,如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

使用 NSpack 壳压缩 Telegram 文件和病毒文件,点击执行后,启动正常的 Telegram 安装程序,并暗中释放安装具有 VMP 壳的 Zegost 病毒文件,如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

2.2.2 社工文档

微步在线对上述样本文件的资产和行为特征进行关联分析,发现存在大批量相同特征的样本,其中大部分文件名伪装成名称与金融证券相关的 Office 文档,实际为恶意执行文件,推测该组织重点攻击金融证券行业。相关样本如下表所示,其影响范围可见一斑。

Sha256

文件名

40b115a8d6a046636552143ede095668ddbd961484d97c5bd04974541d744c8f

2021.xx证券交易明细.exe

7122e5551981d9d4ca93f03eb1073c55c43ea46ceb0e97b954f782bcb41db94b

股票持仓明细.exe

8783eb42a157692b1e58d17c0aaa6c3192208a6d4829b6bd2d029caf312e0d39

xx证券持仓明细.exe

42b950070fbacde9b9168354fd9bd75fadd866df438801f772acfbf8e8477122

2.15优质股市推荐.exe

0ae6ad11f0b46282ec8da8c8483cf7fc89200c744f13ae0df1706b5ee0f19c35

账单出入款明细2.19_xlsx.exe

ca69fc3c0ed5c8f1f5bab339aa35df5928b6dadacac475c4e8d9e0c917f814e9

对于xx智投的操作不懂点.exe

be2a2505c1fbc535445f6b64ff4037c9e1560cacbb23b1ff80ad5bc17186b2dd

3月份-公司章程规定整理程度 01.exe

6f70c50049a1d16ab1a1bd08d0931e4be16b623b165965be2bc5b6db2daa35b7

投研点金个股.rar

a65a1d9e0a8f2b10ffdfa0cb672513f9abd3188f3775e3c009dc3fee0e3a061c

2022年一月份个人持仓数据交割截图.rar

48ce63bfba8e9da94dbcf7ff4f74e300b05379e080b35f9efdbf31b31218173d

xx证券个人账户持仓明细 8.30.exe

4f2ecd93addb2a675bccbb71d74193b555d30ef695795383cf8d2167a73d012e

基金问题总结.rar

f0131e579718d24c7345c41cc36a83960cccb1550ca550dd6a1831eb309b62c4

Flash2022.exe

1c718c2b9c22c48cf8828f5619408a67c33f3b593632287d231dd06b5ff08759

tg_desktop.exe

206b2beb3e75daa09fd05d3579f78cf80fbbb7be9903e10a4926bd579e975593

telegram_desktop.exe

cfe42b784b111723e619bd29a4cada37039217d4038eb07fafa6f5c70e397568

360UDiskPro.exe

94b107e25412bbf9653a60dbec133c66466fd8bf789452b28760b2d69f0d848b

引发市场恐慌的主要原因在于以美国为首的西方国家正在考虑扩展俄制裁至能源领域.exe

4adeb50cb8b77879f7219ecd333a9d38a68529d2bf905e43af5b5304d91f76d9

2022首批非法滞留境外劝返名单.rar

其中,微步情报局梳理出恶意样本文件名及其连接的 C&C 关系图如下所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

2.2.3 间谍软件

从上表中的文件名中可以看出,攻击者目前偏爱金融证券行业从业者,但也包含一些常用的软件下载或者新闻类软件,部分间谍软件图标如下图所示,其中不乏QQ、腾讯视频、杀毒软件、360U盘助手和美图秀秀等流行性软件,传播范围广,隐秘性强。

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
3

样本分析

抽取其中某个金融样本进行深入分析,分析如下:

3.1 基本信息

Sha256

ca69fc3c0ed5c8f1f5bab339aa35df5928b6dadacac475c4e8d9e0c917f814e9

SHA1

1211a84442c03e2bb8a25733a8751a43bc98786d

MD5

2da8252066a3fe499fa4b57a76e3851f

文件类型

RAR

文件大小

881193 bytes

文件名称

对于九方智投的操作不懂点.rar

功能描述

文件解压后为“对于九方智投的操作不懂点.exe”, 点击后在在当前文件目录下生成temp文件,temp文件释放并执行核心文件, 核心文件持久化并在内存建立稳定的Zegost病毒连接,执行来自黑客服务器的命令。

3.2 详细分析

样本的基本执行流程图如下所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

3.2.1 流程分析

a)解压文件后,点击该样本,会在本目录下生成以父目录名+”#”+随机四到七位字母+”.exe”为名的 temp 文件和在 C:windowssystem32(64位系统为sysWoW64)下生成 Delete00.bat 文件,如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

b) Delete00.bat 文件启动 temp 文件并自删除。

c) temp 文件释放核心文件到 C:windowssystem32(64位系统为sysWoW64)下,核心文件一般为随机字母组合的 exe 文件,如下图所示,启动核心文件后删除自身。

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

d) 核心文件在内存中释放 Zegost 病毒,该病毒为 dll 文件,通过调用 Shellex 函数启动,最终实现对受害机的窃密和控制,如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

3.2.2功能分析

a) 连接 C&C 并接受信息,执行指定的功能;

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

b) 通过创建服务维持持久化以及病毒在注册表配置的服务信息,如下图所示。值得注意的是该服务的首单词与释放的核心文件名称相同;

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

该服务在注册表中如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

c)通过遍历进程获取安全软件信息;

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

d) 通过传入的指令对文件、目录和程序文件进行操作,如下图所示:

  • 文件:解压、搜索、创建、读取、写入、移动、删除和获取信息等功能;

  • 目录:一级或多级创建和删除功能;

  • 程序:通过读取注册表获取信息。

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

e) 创建线程持续获取浏览器记录并发送相关信息;

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

f) 通过调用指定函数及参数获取受害机指定信息:

  • 获取键盘消息;

  • 获取音频相关;

  • 获取屏幕截图;

  • 获取和设置剪切板内容;

  • 获取鼠标记录;

  • 获取桌面窗口管理器相关。

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

g) 通过下载并使用公开工具 Mimikatz 获取受害机的账户密码;

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

h) 对注册表键及键值进行修改、删除和关闭等;

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

i) 通过遍历窗口获取受害机当前登录的 QQ 信息后,调用 QQ 的 API 接口获取返回的信息从而实现 QQ 窃密;

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
4

关联分析

4.1版本变迁

核心文件释放的内存中除了 Zegost 病毒,还在Zegost病毒后面附带了 QAssist.sys(x86) 和 QAssist.sys(x64) 驱动文件。QAssist 驱动的目的为了保护核心文件,其中驱动的 pdb 路径为 F:\hidden-master\Debug\QAssist.pdb,如下图所示。该驱动历史曾多次作为 Zegost 保护驱动出现。

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

微步情报局根据其特征发现该组织曾于2021年使用外挂软件内嵌病毒的方式进行广泛传播,代码前后版本变更对比如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

其中控制及持久化部分保持一致,如下图所示:

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
经过分析,版本变化对比表如下:

版本

V1

V2

V3

时间

2021年6月

2021年7月-11月

2022年2月-至今

攻击用户

外挂用户

金融用户

金融用户,常用软件用户

样本名称

巴哈-糖豆人.exe

巴哈-绝地求生.exe

巴哈-盗贼之海 V4.2.exe

P1 出款明细账单对接总额 wps.exe

xx期货个人持仓.zip

担保骗子 888 名单曝光.exe

2021.xx证券交易明细.exe

账单出入款明细2.19_xlsx.exe

telegram_desktop.exe

文件图标

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”? FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”? FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

传播方式

外挂论坛下载

社工文档和第三方下载网站

钓鱼网站、社工文档和第三方下载网站

样本特点

核心文件为UPX壳的

Zegost病毒

核心文件为PESpain壳的

Zegost病毒

核心文件为VMP壳的Zegost病毒

驱动位置

释放在系统drivers目录下

置于内存Zegost病毒后

置于内存Zegost病毒后

4.2 溯源信息

根据其钓鱼域名相关信息,如下图所示:

telegrampc.org

telegramapp.cn

telegrammessenger.cn

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”? FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”? FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
经分析,该人员为域名售卖者,出售了高仿的 Telegram 域名给该组织后,该组织布置钓鱼服务,然后进行一系列违法犯罪活动。
此外,微步情报局根据追踪该组织拥有的资产 206.119.83.28,该 IP 上的恶意病毒活动记录如下图所示,经过对样本进行分析,发现与微步情报局2021年11月披露的FinGhost 黑产团伙使用的病毒文件属于同源病毒,只是打包方式以及病毒混淆方式略有更改。
FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

4.3 拓线信息

根据其文件规律,微步情报局可探测到存放病毒文件的公开服务器,部分资产如下,显示该组织仍十分活跃。

文件名

ip

服务器存储情况

TGQF.exe  DXTF.exe

154.23.176.112

154.23.176.240

154.23.176.236

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

$Bthudtask 01.exe

154.23.176.145

154.23.176.239

154.23.176.228

FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
5

行动建议
威胁处置
  • 删除 C:windowssystem32(64位系统为sysWoW64)文件夹下异常 DGA 名称的 exe;

  • 结束 DGA 名称的进程;

  • 删除注册表 HKLM_LOCAL_MACHINESYSTEMCurrentControlSetServices 中以同样该 DGA 开头的注册项。

安全加固
  • 不点击钓鱼邮件等陌生来源的任何软件或者文档;

  • 建立办公软件库,严格把控第三方软件下载渠道;

  • 及时排查威胁检测设备告警,及时处置相关威胁。

– END –

公众号内回复“FG”,可获取附录IOC文档。



关于微步在线研究响应中心

微步情报局,即微步在线研究响应中心,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。


内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”
点击下方名片,关注我们
第一时间为您推送最新威胁情报

阅读原文,可加入粉丝群~

原文始发于微信公众号(微步在线研究响应中心):FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

版权声明:admin 发表于 2022年5月18日 上午11:16。
转载请注明:FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”? | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...