情报速递20240620｜利用开源远程控制程序进行的钓鱼攻击

腾讯安全科恩实验室（以下简称“腾讯科恩”）持续基于多源数据的威胁情报分析以及系统自动化方式，追踪捕获基于钓鱼样本的攻击事件。近日腾讯科恩发现了使用某开源远控程序进行的钓鱼攻击，随后以该开源工具中内置的SSL数字证书进行挖掘，进一步发现了利用博彩工具为诱饵进行钓鱼的黑产团伙。

腾讯科恩在日常情报运营过程中，发现了通过社交聊天软件投递的名为"公司法人资料.exe"钓鱼文件，分析确认其使用了某安全研究人员开源的远程控制程序DCRat。该程序被控端与C2进行通信时采用了SSL加密的方式，并且黑客在构造钓鱼样本时直接使用了程序开发者内置的电子证书。腾讯科恩从该SSL证书中提取特征指纹并录入IDS规则库，对现网可疑样本在沙箱中产生的网络流量进行检测，发现了更多同类型的VenomRAT钓鱼攻击。其中存在大量将远控木马打包在线博彩工具文件中进行钓鱼攻击的样本，疑似与博彩黑产团伙有关联。

钓鱼文件信息：

母体样本下载shellocde，加载入内存并跳转到入口处执行。

shellcode代码在内存中加载远控木马。

对shellcode加载的木马进行分析后确认其为开源远控程序DCRat（https[:]//github.com/qwqdanchun/DcRat），该远控木马基于.NET编写，并且对部分代码进行了高度混淆。

经过对比发现该远控程序与另一款开源远控工具AsyncRAT非常相似，因此部分杀毒软件也会将其识别为AsyncRAT。AsyncRAT也是一种基于.NET开发的远程访问工具 (RAT)，可以通过SSL加密连接远程监控和控制其他计算机。

https[:]//github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

跟踪远控木马与C2通信过程发现网络流量中包含"DCRat By qwqdanchun1.0"特殊字符串。

进一步分析发现字符串存放于SSL加密通信的身份认证证书中，解析出证书主体名称信息如下：

RDNSequence item: 1 item (id-at-commonName=**企业管理)

RDNSequence item: 1 item (id-at-organizationalUnitName=qwqdanchun)

RDNSequence item: 1 item (id-at-organizationName=DcRat By qwqdanchun)

RDNSequence item: 1 item (id-at-localityName=SH)

RDNSequence item: 1 item (id-at-countryName=CN)

将该证书特征添加至IDS规则，在科恩沙箱中发现了更多使用相似SSL证书通信的VenomRAT钓鱼攻击样本。

相似证书主体名称信息：

RDNSequence item: 1 item (id-at-commonName=VenomRAT Server)

RDNSequence item: 1 item (id-at-organizationalUnitName= qwqdanchun )

RDNSequence item: 1 item (id-at-organizationName=VenomRAT By qwqdanchun )

RDNSequence item: 1 item (id-at-localityName=SH)

RDNSequence item: 1 item (id-at-countryName=CN)

部分钓鱼文件以在线赌博相关工具为主题进行命名，疑似与在线博彩黑产团伙有关联。

这些钓鱼样本运行后会释放在线赌博工具和VenomRAT远程控制木马，相关"玩家"在使用赌博工具的同时，电脑也会被黑客远程控制。

钓鱼样本启动在线赌博投注工具：

释放VenomRAT远程控制木马程序：

VenomRAT与DCRat、AsyncRAT采用相同的加密通信方式，在代码结构上面也十分相似，已有安全人员分析推测他们属于同源RAT。