情报速递20240530｜利用云函数转发C2的Cobalt Strike钓鱼样本

腾讯安全威胁情报中心 · 公众号 · · 2024-05-30 11:06

正文

1.背景

腾讯安全科恩实验室（以下简称“腾讯科恩”）持续基于多源数据的威胁情报分析以及系统自动化方式，捕获可疑钓鱼样本。近期捕获的样本类型，包括“银狐”家族样本文件，攻防演练样本文件以及其他类型钓鱼文件。后续，腾讯科恩将不定期公开部分捕获到的相关样本，与提取到的部分IOC，以供企事业单位进行安全防护排查与安全分析人员进行参考研判。

在5月27日系统告警信息中，腾讯科恩捕获到一个名为《广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.zip》的钓鱼攻击文件样本。该文件疑似用于针对某金融机构的定向攻击。通过进一步的分析，可以识别到该样本母体加载了 Cobalt Strike 木马，并通过云函数进行C2转发。结合其他已分析的相关样本特点，以及关联情报数据进一步挖掘，最终判断该钓鱼文件是用于攻防演练的样本文件。

钓鱼文件

广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.zip

解压文件

广*数字财税问题附件材料各种操作都登录不了-请帮忙查看是什么原因尽快处理20240527.exe

md5

7a30f2837509da7e532be266e1d2656d

样本类型

Win64 Executable

样本大小

7711744字节

发现时间

2024-05-27 15:47:31

样本图标

2.样本分析

样本自实现木马加载过程，入口处检测到沙箱环境会直接退出：

通过大量无效指令对代码进行混淆：

动态申请内存并加载 Shellcode

情报速递20240530｜利用云函数转发C2的Cobalt Strike钓鱼样本

正文

请到「今天看啥」查看全文