主要观点总结
腾讯科恩实验室对“银狐”钓鱼团伙进行追踪分析,发现利用“核酸检测退费”和“发票信息”为主题的钓鱼样本增多。本文提供了关于这些钓鱼攻击的关键信息以及相关的技术细节分析。
关键观点总结
关键观点1: 钓鱼邮件和文件命名方式
钓鱼邮件以“电子发票下载”为标题,包含“查看发票”等关键词,诱导接受者点击钓鱼木马链接。钓鱼文件命名方式除了以往常用的标题外,还出现了与核酸检测退费相关的文件名,如“2024年每个地区医院通知退核酸捡测费用流程.rar”。攻击时间、md5钓鱼文件名等信息也一并给出。
关键观点2: 攻击技术细节
恶意样本母体作为下载器从多个不同的URL下载rar或png格式Payload文件,解密后加载到内存。利用EnumDateFormatsA函数执行回调的方式执行shellcode,运行远程控制木马。木马还通过动态获取系统API函数、使用大量字符拼接数据的方式对抗静态特征检测。
关键观点3: 相关的IOCMD5和链接
提供了与攻击相关的IOCMD5值以及一些重要链接,包括下载payload文件的URL。此外,还列出了多个域名和IP地址,这些可能与攻击活动有关。
正文
最近一段时间,腾讯安全科恩实验室(以下简称“腾讯科恩”)对"银狐"钓鱼团伙保持着紧密的跟踪和分析。近日,腾讯科恩新发现了利用
"核酸检测退费"
和
"发票信息"
作为主题的钓鱼样本有增多的趋势。这两种类型的样本分别通过聊天软件和邮件进行传播。以"电子发票下载"为标题的钓鱼邮件正文包含"查看发票"等关键词,以实现诱导接受者点击钓鱼木马链接。同时,腾讯科恩发现,在恶意代码执行过程中,会通过使用大量字符拼接数据的方式对抗杀软静态特征检测。基于最新线索,腾讯科恩对相关样本进行了简要分析如下,文后会提供一些相关IOC,以供政企用户进行回扫和检测,避免受到相关威胁的影响。
若用户点击邮件中附带URL会跳转至某云厂商上的木马下载地址:
在钓鱼诱饵文件命名方式上,除了以往常用的"**社保","**名单","**抽查"外,在5.22日出现某些医疗单位开始对符合条件的市民进行退换核酸检测费用的相关新闻后,随即捕获到了名为"
2024年每个地区医院通知退核酸捡测费用流程.rar
"的钓鱼攻击文件。
|
md5
|
钓鱼文件名(含解压文件)
|
发现攻击时间
|
|
9158492df75d0446dc05114efbeac1a6
|
抽查程序k.exe
|
2024/5/20 22:34
|
|
58805d04d1e6bc7055bdeff2c6ff28b7
|
2024年缴纳社保调整如下.zip
|
2024/5/20 22:37
|
|
0e5bee2fdee04b4eddb50056cec0c9f9
|
登录操作查询系统.exe
|
2024/5/21 12:56
|
|
7d72adb41674d089cd42d42c9c3dd516
|
登录操作查询系统.exe
|
2024/5/21 14:27
|
|
ff245fcf89c97e0ef4bad14c22b1a6e6
|
4月份公司违章违规处罚名单.rar
|
2024/5/21 15:12
|
|
f81573e824278d6ed1f84906f8c13d37
|
4月份公司违章违规处罚名单.rar
|
2024/5/21 15:16
|
|
7715cc70384f8cc4cce08eae3d6dd1a4
|
水 务 抽 查.rar
|
2024/5/21 16:07
|
|
db05b0e1b723055a96c1fc04ef8f1b88
|
2024***局关于企业和个人所得税政策N.exe
|
2024/5/21 18:40
|
|
630d3e486bf119b72ae845f9697b7828
|
2024年缴纳社保调整如下.rar
|
2024/5/21 19:37
|
|
bdbff0f6d79f3f3d4ccb9ced5f64da06
|
5月份公司违 规处 罚名 单.rar
|
2024/5/22 13:46
|
|
09a7b98e932af91dd3ed5cb6bc69ba7b
|
2024年每个地区医院通知退核酸捡测费用流程.rar
|
2024/5/22 13:48
|
|
84d9270e3368d84a3df1a15795cc2207
|
企 业 抽 查 对 象.rar
|
2024/5/22 14:01
|
|
3b063753c0710cf7713d15e810533eaa
|
ToL终端 - 副本.exe
|
2024/5/22 17:12
|
|
f927240653bacd66f89bc7e843466037
|
ToL终端.exe
|
2024/5/22 17:16
|
|
c2bb71628c847a8652bc8ed99ef52f3e
|
票292583150065管理m.exe
|
2024/5/23 0:54
|
|
01b7c35a2ae0596d3e00df4a6692d497
|
2024年缴纳社保调整如下.zip
|
2024/5/23 10:28
|
|
67f2b08bc8f46b316a9ddf2d580abfb3
|
2024税务稽查违规涉税企业名单(电脑版).zip
|
2024/5/23 10:42
|
|
635f06c287153ef89c8ba7bbe9a159a5
|
2024年度税务稽查企业名单公示.zip
|
2024/5/23 12:46
|
|
a56829022d2f241bac63fd41b81cc215
|
医院通知退核酸检测费用《电脑版》.zip
|
2024/5/23 13:06
|
在攻击技术方面,恶意样本母体作为下载器从多个不同的URL下载rar或png格式Payload文件,解密后加载到内存,利用EnumDateFormatsA函数执行回调的方式执行shellcode,最终运行远程控制木马。同时,木马还通过动态获取系统API函数、使用大量字符拼接数据的方式对抗静态特征检测。
样本中嵌入了大量字符:
下载payload文件xingpai.weilay.com[.]cn/llq.rar,利用EnumDateFormatsA函数执行回调的方式执行shellcode:
|
9158492df75d0446dc05114efbeac1a6
|
|
58805d04d1e6bc7055bdeff2c6ff28b7
|
|
0e5bee2fdee04b4eddb50056cec0c9f9
|
|
7d72adb41674d089cd42d42c9c3dd516
|
|
ff245fcf89c97e0ef4bad14c22b1a6e6
|
|
f81573e824278d6ed1f84906f8c13d37
|
|
7715cc70384f8cc4cce08eae3d6dd1a4
|
|
db05b0e1b723055a96c1fc04ef8f1b88
|
|
630d3e486bf119b72ae845f9697b7828
|
|
bdbff0f6d79f3f3d4ccb9ced5f64da06
|
|
09a7b98e932af91dd3ed5cb6bc69ba7b
|
|
84d9270e3368d84a3df1a15795cc2207
|
|
3b063753c0710cf7713d15e810533eaa
|
