近日,微步情报局监测发现,近期出现大量高仿 Telegram 中文版的钓鱼网站(搜索引擎中排名第二),下载恶意文件进行分析拓线后,确认该事件是微步情报局之前披露过的国内黑灰产组织 FinGhost 所为。
-
该组织使用钓鱼网站、社工文档和间谍软件为主的方式诱导用户安装病毒文件,从而实现肉鸡控制;
-
该组织当前主要目标为金融从业者,但也存在利用 Telegram 等常用软件或流行新闻等间谍软件进行大范围传播的方式;
-
该组织构造病毒文件使用多层壳嵌套(NsPack壳+VMP壳)的方式阻碍逆向分析,生成样本流程已形成模板化,最终的病毒文件为修改后的 Zegost 病毒变种,具备多角度窃密、控制和执行功能;
-
通过关联分析,该组织曾于 2021年7月以来使用金融相关的社工文件传播病毒, C&C 为206.119.83.28。2022年2月到至今,该组织将病毒文件加 VMP 壳后重新投递,仍使用该 C&C 控制肉鸡;
-
微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。
2.1 团伙画像
|
团伙画像 |
|
|
特点 |
描述 |
|
平台 |
Windows |
|
攻击目标 |
金融证券,Telegram用户,常用软件用户 |
|
攻击地区 |
中国 |
|
攻击目的 |
发展肉鸡,窃密和控制 |
|
传播方式 |
钓鱼网站、社工文档和间谍文件 |
|
武器库 |
VMP壳、修改版Zegost病毒 |
2.2 技术特点
该组织使用多种方式进行病毒文件扩散,包括钓鱼网站、社工文档和间谍文件等。
2.2.1 钓鱼网站
|
钓鱼域名 |
截图 |
病毒文件下载地址 |
|
telegrampc.org |
|
https://download.telegrams.workers.dev/telegrampc.org |
|
telegramapp.cn |
|
https://download.telegrams.workers.dev/ telegramapp.cn |
|
telegrammessenger.cn |
|
https://download.telegrams.workers.dev/telegrammessenger.cn |
经过关联分析,发现文件下载方式从最初的高仿 Telegram 域名(以 xyz 为后缀的顶级域名)下载更改为 Cloudflare 的 Workers 云平台文件下载,如下表所示:
|
钓鱼网站 |
文件下载地址Version 1(已失效) |
文件下载地址Version 2 |
|
telegrampc.org |
http://download.telegrampc.xyz/file/platforms/telegram_desktop.exe |
https://download.telegrams.workers.dev/telegrampc.org |
|
telegramapp.cn |
http://download.telegramapp.xyz/file/platforms/telegram_desktop.exe |
https://download.telegrams.workers.dev/telegramapp.cn |
|
telegrammessenger.cn |
http://download.telegrammessenger.xyz/file/platforms/telegram_desktop.exe |
https://download.telegrams.workers.dev/telegrammessenger.cn |
|
…… |
||
由于 Telegram 没有中文版,用户会使用搜索引擎搜索查找相关安装程序,该团伙针对这类用户,在必应搜索引擎做了相应的 SEO 优化,提高钓鱼网站的排名。在发现时,该网址已冲至第二位,如下图所示:
微步情报局对其长期跟踪发现,该组织只投放 Windows 版本的恶意文件,其余均跳转到正常的 Telegram 下载界面,如下图所示:
|
Version |
V1 |
V2 |
|
Sha256 |
206b2beb3e75daa09fd05d3579f78cf80fbbb7b e9903e10a4926bd579e975593 |
3BDBA928CF1ADE15F3748D900B22D0B0D0D5 B4166A2CF43F918F4858961AB2EC |
|
Name |
Telegram_desktop.exe |
tsetup.com |
|
Size |
36.83 MB |
35.8 MB |
|
C&C:port |
150.242.219.151:8099 |
193.218.38.158:8080 |
由于存在浏览器安全判断以及杀毒软件的阻碍,该组织后期又增加了信任下载文件的弹窗提示,如下图所示:
使用 NSpack 壳压缩 Telegram 文件和病毒文件,点击执行后,启动正常的 Telegram 安装程序,并暗中释放安装具有 VMP 壳的 Zegost 病毒文件,如下图所示:
2.2.2 社工文档
|
Sha256 |
文件名 |
|
40b115a8d6a046636552143ede095668ddbd961484d97c5bd04974541d744c8f |
2021.xx证券交易明细.exe |
|
7122e5551981d9d4ca93f03eb1073c55c43ea46ceb0e97b954f782bcb41db94b |
股票持仓明细.exe |
|
8783eb42a157692b1e58d17c0aaa6c3192208a6d4829b6bd2d029caf312e0d39 |
xx证券持仓明细.exe |
|
42b950070fbacde9b9168354fd9bd75fadd866df438801f772acfbf8e8477122 |
2.15优质股市推荐.exe |
|
0ae6ad11f0b46282ec8da8c8483cf7fc89200c744f13ae0df1706b5ee0f19c35 |
账单出入款明细2.19_xlsx.exe |
|
ca69fc3c0ed5c8f1f5bab339aa35df5928b6dadacac475c4e8d9e0c917f814e9 |
对于xx智投的操作不懂点.exe |
|
be2a2505c1fbc535445f6b64ff4037c9e1560cacbb23b1ff80ad5bc17186b2dd |
3月份-公司章程规定整理程度 01.exe |
|
6f70c50049a1d16ab1a1bd08d0931e4be16b623b165965be2bc5b6db2daa35b7 |
投研点金个股.rar |
|
a65a1d9e0a8f2b10ffdfa0cb672513f9abd3188f3775e3c009dc3fee0e3a061c |
2022年一月份个人持仓数据交割截图.rar |
|
48ce63bfba8e9da94dbcf7ff4f74e300b05379e080b35f9efdbf31b31218173d |
xx证券个人账户持仓明细 8.30.exe |
|
4f2ecd93addb2a675bccbb71d74193b555d30ef695795383cf8d2167a73d012e |
基金问题总结.rar |
|
f0131e579718d24c7345c41cc36a83960cccb1550ca550dd6a1831eb309b62c4 |
Flash2022.exe |
|
1c718c2b9c22c48cf8828f5619408a67c33f3b593632287d231dd06b5ff08759 |
tg_desktop.exe |
|
206b2beb3e75daa09fd05d3579f78cf80fbbb7be9903e10a4926bd579e975593 |
telegram_desktop.exe |
|
cfe42b784b111723e619bd29a4cada37039217d4038eb07fafa6f5c70e397568 |
360UDiskPro.exe |
|
94b107e25412bbf9653a60dbec133c66466fd8bf789452b28760b2d69f0d848b |
引发市场恐慌的主要原因在于以美国为首的西方国家正在考虑扩展俄制裁至能源领域.exe |
|
4adeb50cb8b77879f7219ecd333a9d38a68529d2bf905e43af5b5304d91f76d9 |
2022首批非法滞留境外劝返名单.rar |
其中,微步情报局梳理出恶意样本文件名及其连接的 C&C 关系图如下所示:
2.2.3 间谍软件
从上表中的文件名中可以看出,攻击者目前偏爱金融证券行业从业者,但也包含一些常用的软件下载或者新闻类软件,部分间谍软件图标如下图所示,其中不乏QQ、腾讯视频、杀毒软件、360U盘助手和美图秀秀等流行性软件,传播范围广,隐秘性强。
抽取其中某个金融样本进行深入分析,分析如下:
3.1 基本信息
|
Sha256 |
ca69fc3c0ed5c8f1f5bab339aa35df5928b6dadacac475c4e8d9e0c917f814e9 |
|
SHA1 |
1211a84442c03e2bb8a25733a8751a43bc98786d |
|
MD5 |
2da8252066a3fe499fa4b57a76e3851f |
|
文件类型 |
RAR |
|
文件大小 |
881193 bytes |
|
文件名称 |
对于九方智投的操作不懂点.rar |
|
功能描述 |
文件解压后为“对于九方智投的操作不懂点.exe”, 点击后在在当前文件目录下生成temp文件,temp文件释放并执行核心文件, 核心文件持久化并在内存建立稳定的Zegost病毒连接,执行来自黑客服务器的命令。 |
样本的基本执行流程图如下所示:
3.2.1 流程分析
a)解压文件后,点击该样本,会在本目录下生成以父目录名+”#”+随机四到七位字母+”.exe”为名的 temp 文件和在 C:windowssystem32(64位系统为sysWoW64)下生成 Delete00.bat 文件,如下图所示:
b) Delete00.bat 文件启动 temp 文件并自删除。
c) temp 文件释放核心文件到 C:windowssystem32(64位系统为sysWoW64)下,核心文件一般为随机字母组合的 exe 文件,如下图所示,启动核心文件后删除自身。
d) 核心文件在内存中释放 Zegost 病毒,该病毒为 dll 文件,通过调用 Shellex 函数启动,最终实现对受害机的窃密和控制,如下图所示:
3.2.2功能分析
a) 连接 C&C 并接受信息,执行指定的功能;
b) 通过创建服务维持持久化以及病毒在注册表配置的服务信息,如下图所示。值得注意的是该服务的首单词与释放的核心文件名称相同;
该服务在注册表中如下图所示:
c)通过遍历进程获取安全软件信息;
d) 通过传入的指令对文件、目录和程序文件进行操作,如下图所示:
-
文件:解压、搜索、创建、读取、写入、移动、删除和获取信息等功能;
-
目录:一级或多级创建和删除功能;
-
程序:通过读取注册表获取信息。
e) 创建线程持续获取浏览器记录并发送相关信息;
f) 通过调用指定函数及参数获取受害机指定信息:
-
获取键盘消息;
-
获取音频相关;
-
获取屏幕截图;
-
获取和设置剪切板内容;
-
获取鼠标记录;
-
获取桌面窗口管理器相关。
g) 通过下载并使用公开工具 Mimikatz 获取受害机的账户密码;
h) 对注册表键及键值进行修改、删除和关闭等;
i) 通过遍历窗口获取受害机当前登录的 QQ 信息后,调用 QQ 的 API 接口获取返回的信息从而实现 QQ 窃密;
4.1版本变迁
核心文件释放的内存中除了 Zegost 病毒,还在Zegost病毒后面附带了 QAssist.sys(x86) 和 QAssist.sys(x64) 驱动文件。QAssist 驱动的目的为了保护核心文件,其中驱动的 pdb 路径为 F:\hidden-master\Debug\QAssist.pdb,如下图所示。该驱动历史曾多次作为 Zegost 保护驱动出现。
微步情报局根据其特征发现该组织曾于2021年使用外挂软件内嵌病毒的方式进行广泛传播,代码前后版本变更对比如下图所示:
其中控制及持久化部分保持一致,如下图所示:
|
版本 |
V1 |
V2 |
V3 |
|
时间 |
2021年6月 |
2021年7月-11月 |
2022年2月-至今 |
|
攻击用户 |
外挂用户 |
金融用户 |
金融用户,常用软件用户 |
|
样本名称 |
巴哈-糖豆人.exe 巴哈-绝地求生.exe 巴哈-盗贼之海 V4.2.exe |
P1 出款明细账单对接总额 wps.exe xx期货个人持仓.zip 担保骗子 888 名单曝光.exe |
2021.xx证券交易明细.exe 账单出入款明细2.19_xlsx.exe telegram_desktop.exe |
|
文件图标 |
|
 
|
 
|
|
传播方式 |
外挂论坛下载 |
社工文档和第三方下载网站 |
钓鱼网站、社工文档和第三方下载网站 |
|
样本特点 |
核心文件为UPX壳的 Zegost病毒 |
核心文件为PESpain壳的 Zegost病毒 |
核心文件为VMP壳的Zegost病毒 |
|
驱动位置 |
释放在系统drivers目录下 |
置于内存Zegost病毒后 |
置于内存Zegost病毒后 |
4.2 溯源信息
|
telegrampc.org |
telegramapp.cn |
telegrammessenger.cn |
|
|
|
4.3 拓线信息
|
文件名 |
ip |
服务器存储情况 |
|
TGQF.exe DXTF.exe |
154.23.176.112 154.23.176.240 154.23.176.236 |
|
|
$Bthudtask 01.exe |
154.23.176.145 154.23.176.239 154.23.176.228 |
|
-
删除 C:windowssystem32(64位系统为sysWoW64)文件夹下异常 DGA 名称的 exe;
-
结束 DGA 名称的进程;
-
删除注册表 HKLM_LOCAL_MACHINESYSTEMCurrentControlSetServices 中以同样该 DGA 开头的注册项。
-
不点击钓鱼邮件等陌生来源的任何软件或者文档;
-
建立办公软件库,严格把控第三方软件下载渠道;
-
及时排查威胁检测设备告警,及时处置相关威胁。
公众号内回复“FG”,可获取附录IOC文档。
关于微步在线研究响应中心
内容转载与引用
阅读原文,可加入粉丝群~
原文始发于微信公众号(微步在线研究响应中心):FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?
