奇安信威胁情报中心在日常的威胁跟踪中经常碰到“银狐“木马相关的攻击事件,除了威胁跟踪发现之外 ,我们在互联网上、在一线的安全运营反馈中、在各友商发布的事件分析报告中,都经常能碰到”银狐“的身影。只要关注这些不断涌现的“银狐”事件、线索和报告,就不难发现,虽然大家说的都是“银狐”,但是这些事件有时候看起来像是一个团伙所为,有时候又像是几个不同的团伙。长期以来,我们都在对使用“银狐”木马的团伙进行跟踪,但样本繁多,团伙之间错综复杂,给追踪溯源带来了不小的挑战。
对最近两年捕获到的“银狐”相关攻击事件进行了分析和关联后,我们有了一些发现,本文将会对一个目前最活跃的使用“银狐”木马的黑产组织进行讨论,为了避免混淆,我们使用UTG-Q-1000来称呼这个黑产组织。
“银狐”于2023年3月底作为一个黑产组织被披露,该组织通过提升其水坑网站排名,进而传播包含恶意木马,后续还会使用失陷机器即时通讯工具四处投递钓鱼木马程序,主要目标为金融、证券、教育及设计行业。随着业内多个安全团队对“银狐”的深入跟踪发现,相同的攻击技战术被广泛使用在了不同行业领域,与此同时“银狐”的某一版本源码泄露(winos 4.0)被发现,“银狐”从某一独立黑产团体转变为一个在黑产圈广泛使用的木马家族。
如今,“银狐”远控的源码winos在黑产圈广泛传播,已有多个黑产组织对其进行修改衍生出了不同的变种,甚至连一些APT组织也开始使用winos(详见《金眼狗团伙近期活动跟踪》一文),这些攻击的影响范围包含了境内外的金融、教育、电商、货运、设计甚至机关单位在内的各行各业。在本文中,“银狐”指的是一款远控木马的家族名称。
银狐木马是基于开源的Gh0st木马二次开发的版本,但与常规Gh0st远控有较大差异。包含了键盘记录、远程交谈、代理映射、查注册表、语音监控、视频查看、远程截屏等主要功能。同时支持通过插件的形式实现不同的恶意功能:
当前银狐源码泄露及其二次售卖的情况频繁,售卖和收购甚至免费分享的信息遍布在各种黑客技术论坛或者社交群中:
围绕“银狐”木马有专门的产业链,有人贩卖源码,有人做持续免杀卖给下游。甚至通过一些程序代写的店铺或者群中就有做这类生意的人:
-
攻击者通过制作水坑网站,仿冒流行软件下载页面,伪装不同的木马安装包进行投放,通过SEO优化或购买竞价排名的方式提升其搜索排名等待目标人群下载。
-
攻击者通过制作钓鱼页面,仿冒税务税收、发票单据、人员名单等主题钓鱼页面,诱导目标人群下载相关文件。
-
通过QQ、微信等即时通讯工具混入群聊,发送目标人员感兴趣的钓鱼文件或钓鱼链接,诱导受害者进行下载。
-
入侵受害者机器后攻击者会尝试使用失陷机器中的通讯工具进行二次传播。
-
通过电子邮件投递钓鱼链接或木马附件的方式进行传播。
UTG-Q-1000组织一直在使用银狐木马并且持续进行更新,其资产的更新速度和攻击手法以及免杀对抗等技术的更迭频率都相当高,甚至有时候一天能更新好几个版本,可以说是目前国内最活跃的黑产组织之一。该黑产组织的各类攻击活动被业内多家安全厂商捕获并发表过相关文章,有多个不同的命名,比如“毒鼠”、“游蛇”、“谷堕大盗“、“索伦”等等,经过关联分析,我们确认这些攻击活动隶属同一黑产组织。
我们推测UTG-Q-1000存在多个 “攻击小组”,注意这里不一定是这个黑产组织中真实存在的“小组”,而是我们按照攻击目标以及攻击手法划分出来的“小组”——每个小组针对不同目标人群实施相应的攻击,虽然都使用银狐木马作为主力远控,但是攻击手法各有一些区别,同时各个小组之间的资产、手法或者样本存在一定的关联和重叠。目前划分出来的有4个不同的“小组“,分别为财务组、新闻桃色组、设计制造组还有黑吃黑水坑组;这四个组之间的关系如下图:
该小组主要目标人群为财务人员及企事业单位管理人员。其
主要攻击手法如下:
1、筛选目标人群发送钓鱼邮件或混入目标群组后发送钓鱼链接,通常伪装成包括税务稽查、电子票据、函件、方案在内的主题内容。钓鱼文档示例如下,诱导受害者跳转钓鱼页面:
诱饵文件格式除使用EXE和ZIP外,还常用MSI安装程序、CHM文件,示例文件名如下:
|
文件名
|
MD5
|
|
2024-10-12调动表.exe
|
ff73f28f9cf60c40b293163647d67cb4
|
|
补贴公告.exe
|
63244d79895edbe76f7b7d54205a52a7
|
|
241015企业名册.exe
|
6ba65d9b9a79fc14856fc1846742d5f4
|
|
setupPDF-uninstall.exe
|
e4c28654e0ffeaaa20ea47801d3fe298
|
|
查询-uninstall.zip
|
5642afc033aa85a16db84cf9418c1cf2
|
|
执行名单-uninstall.rar
|
975835bd87410a77a98270c217b9c840
|
|
执行查看.msi
|
fbc747cf053664a23160f34427ea5663
|
|
setk718安装.打开.msi
|
53f6d61915a09dc43ec7d3b8decf2308
|
2、目标人群通过社交软件或钓鱼邮件进入钓鱼页面下载并运行诱饵木马文件。
3、木马多段运行释放WinOS银狐、Gh0st、刺客远程等payload,对受害者进行远程控制。
4、攻击者喜欢使用阿里云oss服务及有道云笔记共享文件的方式来下载payload:
同时喜欢使用自己拥有的服务器资产下同一uri目录作为下载地址获取木马运行时所需的阶段加密文件:
5、常使用类似xxxxx.com、xxxxxx.net等格式的较短随机字符域名,来做下载或者C2,比如wtkbxx.com、smqwd.com、xxmuj.com、weufks.net、yudfge.net、yuatwe.net等。
6、攻击者会通过远程控制失陷机器中的社交软件或邮箱分发样本进行二次传播,并筛选高价值受害者通过诈骗等手段获利。
7、后期被发现其会利用国内的一些第三方软件公司的远控程序进行远控或者滥用这些第三方程序的逻辑缺陷来进行免杀。
比如从24年10月份开始使用的新样本:
MD5 = 825b84191f34f779777f402b3c06844f
最终释放的是WorkWin监控软件:
同时还发现滥用了某公司的终端安全软件安装过程中会从执行程序里取C2并写注册表的特性,该文件是带签名的DLL。
该小组偶尔会与其他组共用同一组下载服务器。
该小组主要目标人群为财务和销售人员。其
主要攻击手法如下:
1、通过社交软件混入目标群组后发送钓鱼链接\百度云盘链接\诱饵文件,伪装成桃色新闻或近期热点事件主题内容,也有一部分仿冒的软件安装程序,部分示例诱饵文件名如下:
|
文件名
|
MD5
|
|
中国最美警花不雅视频r.exe
|
1834b7f9333e6107f97b5312bbf82cef
|
|
现场照片及死者身份信息曝光.gz
|
269c0370eca653552a2288a1c3a0c0b0
|
|
9月13日西港又一名中国男子遭枪杀.cab
|
b04c871ccfd69b3dbd0dea3bae460ae8
|
|
两名死者身份信息详情.exe
|
d4a0335033b9c417c6f8b4c3c0fd36fa
|
|
缅北园区一中国男子因欠赌场数百万偷取公司钱财被抓.cab
|
ce18aa2ab1cab05f31cb87185012c3e8
|
|
极品高三学妹萝莉lojiang.exe
|
584bc24441f8ee3d83416bb328563cb4
|
|
EyePro.exe/护眼宝.exe
|
2c8c9ad6b83ec1f6a6ed9581d63757e1
|
2、目标人群通过社交软件下载并运行诱饵木马文件。
3、
木马多段运行释放WinOS银狐、Gh0st变种等payload。
编写的木马常使用其C2作为木马恶意载荷下载站点:
4、喜欢使用拼音或单词加重复数字组成的域名。
5、
攻击者后续通过远控失陷机器中的社交软件或邮箱进行二次传播,并筛选高价值受害者通过诈骗等手段获利。
该小组的与黑吃黑水坑组曾接替使用IP 45.204.2.166, 关联如下:
MD5: 2c8c9ad6b83ec1f6a6ed9581d63757e1
C2: -> xiao.shifude.top、tianran.xinkehu888.top
xinkehu888.top -> xin3.xinkehu888.top -> 45.204.2.166 -> telegramzh.cc、1.telegramgw.org
还会与财务组共用恶意云服务器,例如lldwt-oss.oss-cn-beijing.aliyuncs.com,关联如下:
MD5: 21659aad8f1724dfca9e37885b506f2a (现场视频.exe) -> lldwt-oss.oss-cn-beijing.aliyuncs.com -> https://lldwt-oss.oss-cn-beijing.aliyuncs.com/b.dat -> MD5: cac9c199d9fce533549bf8f8b5cfae07 (PDVDLP.exe) -> hwuexi.net
其曾被用于传播相关诱饵文件:
该小组主要目标人群为设计制造行业从业人员,同时我们发现其后期对财务及企业管理人员也发送相对应主题的CHM诱饵文件。
该组主要攻击手法如下:
混入设计制造方面的学习交流群,发送相关诱饵文件,通常伪装成学习资料、设计图、照片等,绝大部分诱饵木马文件格式使用CHM即编译的HTML帮助文件:
|
文件名
|
MD5
|
|
打包图39.CHM
|
b8378df99481a1e80d155ea13e2af9bc
|
|
8.3图片2.CHM
|
5e30df0a5d3011be3e5ca5b31f8ae66a
|
|
7.21照片3.CHM
|
6b5ae5a6f4ab2bb1b3e6fe7f59de51ff
|
|
ios已压缩-自动转换.CHM
|
df71f71dd6fb4e069ae3542d8f88fc78
|
|
000999.chm
|
4788a9111320d58a50e00b9acd8619ad
|
|
企业随机抽查结果名单公示.CHM
|
ddf101247cde75e58583d6f906c77c28
|
|
随机抽查结果名单公示.CHM
|
dc2a38f45f5a9d3437d55957872d373b
|
|
2024年补贴政策更改通知.CHM
|
2c9c57b7fe11d6c3ad8f98da6d573276
|
2、目标人群通过社交软件下载并运行诱饵木马文件。
该组常在其诱饵连接的域名页面执行加密的JS恶意脚本进行后续操作:
新版本会从myqcloud.com等云盘加载XSL文件,最终执行payload:
3、木马多段运行释放WinOS银狐、Gh0st变种等payload。新版本中会采用多种对抗手段,比如加密混淆、白利用、进程检测、加壳等;中间过程多次使用云服务器多动态加载恶意载荷,具有比较复杂的攻击链,免杀性较好。
该组同样善于利用其资产的同一目录作为木马恶意载荷下载站点,并且URL结构通常喜欢使用统一结构及易懂词:
4、攻击者后续通过远控失陷机器中的社交软件或邮箱进行二次传播,并筛选高价值受害者通过诈骗等手段获利。
该小组与财务组除了钓鱼页面有公用之外,偶尔也有共用C2服务器的情况,例如:
2023年4月使用的样本MD5: ea2c2d1eb4c01b26b0756522ddf7bc02(方案图A2023050101221.chm),C2:http://47.104.226.150/chm/by2.html
IP 47.104.226.150 -> haitang0001.com(23年4.22~6.01,同一时间段)-> 154.83.17.175(23年6.01~8.12)-> 23年5月活跃的MD5: 653ab9a952f61e001fa721f01b93ed36 (C2: 154.83.17.175:8000) 该样本会创建一个Mutex "154.83.17.175:8000:Rsrihm sqbuefae",正是财务组中提到过的某个版本中的样本特征。
该小组主要针对涉及境外业务的黑灰产从业者,主要通过搭建仿冒水坑网站,然后支付推广费提升这些仿冒下载站点的搜索排名,诱骗用户下载捆绑了后门的安装包程序;同时也会在Telagaram中散发安装包。资产命名特征比较明显。除了使用自身注册域名自建网站之外,也会使用google docs等公共云服务,同时还会购买一些比较小的软件/网站开发服务公司的子域名用来作为仿冒下载站点,或者黑下一些小公司的域名来使用。该组也被国外安全厂商识别为 "Void Arachne" 攻击组织。
该组主要攻击手法如下:
1、制作目标人群常用软件的伪装安装包,流行安装包程序包括WPS、搜狗输入法、360浏览器、Chrome浏览器、无忧解码、爱思助手、ToDesk、Telegram、有道词典、Flash、AI换脸、GPT等等,有时还针对目标定制了如PDF编辑器、游戏引擎等软件。
安装包的文件格式大部分为EXE或MSI,示例如下:
|
文件名
|
MD5
|
|
ToDeѕk.msi
|
0f56b08a09465d34f4f6bcb07edbe813
|
|
TG-x64-GT-z.msi
|
02ce4f6b713cfa903cd122bf9b2814a9
|
|
setup.rar
|
