专栏名称: 腾讯安全威胁情报中心

御见威胁情报中心，是一个涵盖全球多维数据的情报分析、威胁预警分析平台。依托顶尖安全专家团队支撑，帮助安全分析人员快速、准确对可疑事件进行预警、溯源分析。

情报速递20240509｜"银狐"钓鱼团伙2024年1-5月攻击趋势

腾讯安全威胁情报中心 · 公众号 · · 2024-05-09 10:04

正文

1.背景

2024年1月至5月，腾讯安全科恩实验室（以下简称“科恩”）对"银狐"（又被称作"谷堕大盗"、"树狼"、"游蛇"）钓鱼攻击黑产团伙的传播途径和攻击手法进行了持续跟踪。该团伙持续通过社交聊天软件、邮件附件投递钓鱼文件或钓鱼链接URL，伪装成知名软件安装包等方式，进行有针对性的传播。攻击对象主要为企业单位中的财务、税务工作人员，其次为教育、电商、货运、设计等行业人员。

经过分析整理，该团伙攻击时的典型特征有以下7点：

1. 以chm、msi、pyinstaller等多种形式的载体打包母体文件，母体进一步释放或下载裹挟恶意代码的xml、jpg、dat、png等后缀的非PE文件；

2. 母体文件会通过加壳、代码混淆、检测杀毒软件进程和虚拟机等方式对抗分析；

3. 宿主进程读取母体释放的非PE文件并定位目标数据段，然后通过异或等算法解密出远控木马程序，使用的远控木马绝大部分为Gh0st；

4. 在执行木马程序阶段，利用白加黑执行、进程代码注入、内存加载shellcode、与合法程序源码一起打包编译、利用商业远控软件等手法进行免杀；

5. 通过个人网站、FTP服务器、云存储桶、云盘、云笔记等平台下载托管的恶意文件；

6. 通过添加系统启动项和计划任务进行持久化攻击；

7. 利用golang、C#、vbe、vbs、bat、js、lua、powershell等多种语言开发，以实现其多样化的对抗需求。

科恩针对此类钓鱼攻击用户数量趋势、钓鱼文件命名特点、钓鱼木马的技术特征、以及木马连接C2地址的端口类型和IP地址分布等特点进行了统计和分析，并在文末附上了近期该团伙攻击相关的IOC。根据科恩威胁情报样本云查引擎检测数据显示，预计在相当一段时间内该钓鱼团伙还会持续活跃，相关企业和单位应当及时部署有效的防御和检测方案。

2.攻击趋势

2.1 拦截钓鱼数量

科恩威胁情报样本云查引擎提供API接口形式，为腾讯多个产品提供恶意文件识别能力，同时还会将从多源运营生产的威胁情报IOC应用到企业级产品的安全模块或安全产品中，以提高企业客户对恶意攻击的综合拦截率。

据科恩情报云查侧统计，2024年1月至5月每日查杀到"银狐"钓鱼样本用户数量如下所示：

由上图可以看出，在2月以后，"银狐"钓鱼攻击的量级虽然有所下降，但仍然维持在每日受攻击用户约1000的高位水平（注：这些钓鱼样本均已被拦截）。

2.2 C2及端口

科恩累计针对2万多个钓鱼样本及其C2地址进行了分析，发现样本连接C2时有一些高频使用的端口，例如“7000”端口有270多个样本使用，而 “12345”，“6666”，“8888”，“5555”，“7777” 这样通过数字简单排列或者重复的端口使用占比也较大，另外部分还使用了 “2022”“2024” 这样的代表年份的数字来作为通信端口。

2.3 文件类型

经分析，钓鱼时投递的PE可执行文件中(如果的投递压缩包，则取解压出的文件类型)，占比最高的为EXE，其次为MSI类型。EXE类型文件在Windows系统界面中被双击后会直接运行，而MSI文件是Windows Installer的数据包，通常攻击过程中MSI运行后会安装和启动其他EXE木马程序。

2.4 典型钓鱼案例

在某用户具体反馈的案例中，攻击者先通过钓鱼控制了某单位人员"人事处-xxx"的电脑，然后利用该人员账号在其所在的“xxxx财务处报账群”中发送了附带远程控制木马的文件“ 2024最新涉税企业名单.rar” ，造成该群聊中的所有人员存在被攻击的风险。

在另一用户反馈案例中，在“xxx地区xxx机构联络”群中，有相关人员的电脑被控制并向群里发送附带钓鱼木马文件的下载链接的消息，消息开头为 “2024年度1月起税务稽查局企业抽查名单” ，并且标明该文件需要用电脑打开，导致该群聊中的所有机构相关人员均存在被攻击的风险，并且不止一位的成员电脑已经被黑客控制。

在第三位用户反馈案例中，某人员的电脑被黑客控制后，拉了另外两位同事建立一个新的群聊，并在群聊中发布了一个名位“工作内容.docx”的文档，该文档中的内容明显是随意生成的与财务工作安排相关的话术。

随后，该人员向相关同事发送了附带远程控制木马的压缩包文件“今日工作排程.zip"，并导致他的同事的电脑也被植入木马。

2.5 文件命名特点

经分析，在社交聊天软件和邮件附件钓鱼过程中，攻击团伙主要利用财税类、发票订单类、视频资源类、政策通知类等主题命名钓鱼文件，并且从社会工程学角度出发，充分利用人们的逐利、好奇、恐惧等心理，构造了以“**补贴”、“**视频”、“**通知”、“**名单”等为标题关键词的钓鱼文件。

变化趋势上，前期主要的方向为以财务、税务等主题，后来逐渐发展为根据实时的热点事件进行命名，例如在2月出现某证券公司员工桃色新闻事件后、3月国家退税流程开始后、4月清明节假期开始后，在对应的时间节点分别出现了对应主题的钓鱼文件传播。相关类别钓鱼文件示例如下：

A.财税类

针对财税人员的钓鱼话术，利用人们追求利益的心理，钓鱼文件的命名方式包含“补贴”，“退税减税”，“薪资奖金”等，另外一类利用好奇和恐惧心理，以“抽查”，“稽查”，“名单”，“违规”等，第三类为操作提示类的，例如“税务系统操作指南”，“计税工具”，“查询”等进行投放。钓鱼文件实例：

文件名	md5
最终通知一国家税财会人员薪资补贴调整（更新日期：2024.1.1）.exe	0dadf900cfb946cf2abec3a65d288acd
2024最新发布-财会人员薪资补贴所需材料.exe	a3b107395ee1ecee13674554cb410791
2024年月新发布-财会人员薪资补贴调整新政策所需材料.exe	b09a5b62152b21e1cdd4517d0c49f516
密码123_关于企业和个人所得税政策.exe	260521432d424ac3aa826de748e987cb
关于政府给中小企业补贴公告.exe	833a7c8344df149859f00277ac5b2751
学院关于2024年科研补贴的说明.exe	503d2e8bcbe83c475273c965a64efe02
关于企业单位-调整增值税税率有关政策（密码123）.exe 中型企业“六税两费”减免政策（电脑版）.zip	1654ac65b2d728575078b413fe5d41df
2024公司年终奖奖金名额人员.exe	750cac46994e82ba83ff142dd6ee2e3d
0131 年终奖报税，半税报减免税额存问题.rar	c5109d20dc5ca3b1bf5ab5175389d0d1
年终奖福利表 (4).exe	3cbd704a35789431be7a19ebfcff7dc2
2024年度1月企业抽查名单@h.exe	91128221df26497fc8b7534c6fa90dcc
国家税务局2024年1月度税务稽查随机抽查结果名单公示(1).exe	4254b4b481bd250300a746eb4f4ddc32
关于2024最新税务稽查通知.exe	a68f7de26252cf4d7f6d6c6259c58741
2024年1月份企业税务稽查通告【电脑版】.exe	ea9ed03ef700c5518c0654e5199d47bb
（4月）重点稽核企业税务名单公示.exe	dc964ea4e2725332ee70d394d7237946
3月份涉税财会人员征信拉黑名单如下.exe	4479178d28e07bd1eef068ef15a83d47
四月企业罚款名单.exe	5361f396d10252751b39c06af8168c34
2024年清明节公司财税违规名单.rar	254943ea6620a11127ee127ba8d3d447
3月份涉税财会人员征信拉黑名单如下.exe	4479178d28e07bd1eef068ef15a83d47
总局关于〔2024〕第一季度重点抽查企业名单公示（电脑版）.exe	e8fa3aadc9317fa456ad64ad7c587071
点击查询.msi	5e876b99583dfc4b2a27df919613bfe0
2024年新社保后台系统操作指南.msi	654fbfa984c04547a99223faded28167
财务人员常犯的21个财税知识误区 .exe	09391196a2b823c45588d5e20002200d

B.发票订单类

这类攻击针对贸易中的商家或者客户，使用“发票”，“订单”，“公司资料”，“发货单”，“价格表”等命名的钓鱼文件进行投递。钓鱼文件实例：

文件名	md5
电子发票.exe	64215587dc6863b9b0a71bb95dba1164
电子发票-终端.exe	0be9fc43bb6581574a1e46884f8e7688
公司成立资料.Word.exe	b81e57f53615405fe30c58af27c22b52
律师函-终端.exe	026a5407ac53ac6ef68f5de78ffb3ae3
最新装备的价格表.exe	84dcef26e3284b0bb5c9cb3fd405b140
资料.exe	1215cb125ea2d2d00c3e839fb56af787
电子云票PPTX.exe	48ab5ef59884e263651d874dcff59ab0
资料全套.msi	09ffdc1f4d2a3d9115d79f82b9024e9a

C.视频资源类

这类攻击针对吃瓜群众的好奇心，例如在出现某某出轨，或者某某泄露事件之后，利用以“*视频”命名的钓鱼文件在聊天群中进行投递，可能在短时间内造成大量用户中招。钓鱼文件实例：

文件名	md5
原版MP4.exe	308504f9d0195b122b9d35b9b6b385e7
原版视频.exe	0ceeedc53c31c5af2dba607fab7f3a1f
2024mp4.exe	43ccc4cf86af53c0f431871747120ed8
(密码123)原版视频.exe	a26d4964ab8b7401307515afc0d9e881
原版视频.zip	616a202383a221937c6431ca27ac248c
**集团一女员工被丈夫举报与领导通J聚众Y乱.exe	cfc26301c8f293054ea9849f9acbd0ac
高中女老师出轨16岁学生.exe	b248cd243bd89f5d3aa93c115edae50e
**微博之夜无下限视频合集.exe	67d386805c43c9eaafea2d11dcf7d8cb
现场视频.msi	eed12d3972d286eea065114ff33fae8a
某公司财务挪用公款跳楼事件原视频.exe	fbfe1d055b5234292b3398e2fd201786
抖音6万粉网红女神大尺度x爱视频流出.exe	47740761957c4fc47e61bb292aadc07b
**视频被曝光。.zip.exe	0610efa65b46be9bbcd435d5d19645f0

D.政策通知类

这类攻击利用人们对“放假安排”，“医保社保”，“考试”等新政策的关注，利用包含“放假通知”，“政策调整通知”，“证书考试通知”，“社保医保通知”命名的文件进行钓鱼，可以对用户进行无差别广泛攻击。钓鱼文件实例：

文件名	md5
公司通知财会人员清明节调休时间如下.exe	2f202856508ad743315739b0b8164e45
关于印发《2024年管委会春节最新放假安排》的通知.exe	4b9aa6c899cd0dd91e49df50f730b7ad
2024春节放假通知.exe	b979d1dc310e69c04b2247817be00ee4
全国大学生放假通知.exe	6cb46d01a61a26fe21f80ebead47eeb9
春节放假通知.docx.exe	4690cfe93f7d57da740d5d80772e752b
2024年度全国会计证资格书过期更变通知系统官方查询.zip	90e99dec6d872c8e662142aec41ea3ac
**市社会保险事务中心关于公布2024年社会保险费缴费具体标准的通知.exe	a8a7ba0b8b38926aad6dda76aae901fa
《二四年度税务事项通知书》.rar	0a0ab76db354c782f4c1b1e2befda139
2024年***局对于企业经济普查表电子版更改和要求.exe	7eefb1e1fa8d0787bba801d91b932cca
***部发〔2024〕关于社保、最低工资最新变化（电脑版).exe	563bfc8edaf2294bb9e06c2c1d11ff10
【明确规定2024员工社保新政策文件通告】.exe	7b7274c56aade7473f0bdad1cc9feb50
医保核定企业名单.exe	d6804bb59e92b76857ed8f04386c8931
【新】公司法规定6037.exe	d3e6440de20bf5036c1cbb4ba7c90944

3.技术分析

为了躲避杀毒软件的检测，攻击者钓鱼时不会直接投递远程控制木马文件，而是会将木马加密后隐藏在文件数据中，或者从远程服务器下载，最终通过加载器解密执行。执行过程中还会使用反沙箱、反虚拟机、白+黑启动、进程代码注入、内存加载等技术，最终在用户主机植入Gh0st等类型的远程控制木马。

远程控制木马为了达到完全控制主机的目的，还会将进程提升至具备特殊权限等级，例如远程关机、加载设备驱动、创建计算机账户等，还会通过创建启动项、计划任务对木马进行启动，以便后续可以持续对主机进行控制。

3.1 诱导下载

为了防止投递的诱饵文件被检测和拦截，部分攻击者向目标用户投递文件下载地址和域名，并通过话术诱导用户主动下载运行。

发送下载链接：

诱导访问域名，域名下会不定期更新钓鱼样本：

钓鱼域名	钓鱼文件名	md5
https[:]// emailqy[.]com/	ssetup凭证_6037.exe	3eb270f628533a2a9e8afadcdfb418f2
http[:]// www.shuiwutg[.]com	电子发票-终端.exe	0be9fc43bb6581574a1e46884f8e7688
http[:]// www.shuiwutg1[.]cn	查处名册.exe	bf198e28de8258f0e245e39eb3f21ab7
http[:]// www.shuiwutg2[.]cn	稽查企业名单册-终端.exe	59b52b546ec7c5eb47b774dde279b904
http[:]// www.shuiwutg3[.]cn	乔迁之喜邀请函-终端.exe	f669cd352cb4b4d1162524a17f5dc768
http[:]// www.shuiwutg4[.]cn	重点稽查名单册-终端.exe	adfbd1410f57f6bdc91aa4c9b4cd7c51
http[:]// www.shuiwujc0[.]cn	税务查处名单册-终端.exe	59b52b546ec7c5eb47b774dde279b904
http[:]// www.shuiwujc1[.]cn	44终端.exe	a63228536a7c5265c9bace82cd40420c

页面打开状态：

页面代码通过重定向，3秒后会自动下载钓鱼文件：

3.2 检测运行环境

28b0f8889030473bf43741b5f6d08eef检测是否存在XueTr、OllyDbg等分析和监控软件进程

b045c4a93a926a638dc10d0130ee067f检测当前进程是否处于被调试状态

b045c4a93a926a638dc10d0130ee067f根据电源状态判断是否处于虚拟机环境

b3d68b2a5b370a46845e0d466612c1f7查看显卡等硬件信息判断是否处于虚拟机环境

3.3 加壳和混淆

46997abfc24ecb1b186b0ceffe60bfc0添加VMP壳保护，VMP属于高强度壳，使用了指令虚拟化技术，对代码和数据都进行了高强度混淆。

006298721ac79417f93e8c1252add3e5添加themida壳保护。Themida会将程序中的函数和代码进行加密和混淆，同时还会使用虚拟机技术，将部分程序代码转换为虚拟指令，使得程序在运行时动态解密和执行，属于类似于VMP的高强度壳。

dcb901adb00237486002282e7b653961通过Replace对模块名称字符串进行混淆

67d386805c43c9eaafea2d11dcf7d8cb使用for-switch模式逻辑混淆和函数名随机化混淆

d279c0d8860bb0b8608e493e816dbf09通过字符串拼接和base64对文件名和URL地址进行混淆

3.4 获取载荷数据

为了躲避杀毒软件的检测，攻击者投递的第一个程序往往不是后门或者远程控制木马本身，而是木马的一个启动器，这个启动器进一步从自身附带的数据中解密或者从远程地址下载数据而得到木马，进一步启动木马。由于这个启动器不具备恶意功能的特征，并且可以不断变化形式，造成杀毒软件难以在第一时间识别。

3.4.1 释放载荷文件

12532d6f8434b4f1e6b1ec7b98ef8e91从网络下载加密的数据并写入注册表中，后续运行时，启动器从注册表中读取数据并解密出恶意代码，并加载到内存执行。

d06916f1ca25a36ceb30b559006a3e7b从资源文件中释放木马启动器

“索伦”木马等攻击案例中，启动器运行后，从以".dat"，".jpg"，".xml"，“.ini”等类型的非PE文件文件中读取数据，并在内存中解密还原出恶意的PE文件，最终执行恶意代码，由于部分杀毒软件对非PE文件(可执行)的检测力度不够，并且这些文件中的数据被加密，可以一定程度上躲避查杀。

78b0c87c04ee3a9a9bf29f3574eace61 从ffff.lop和ffff.pol中读取数据并在内存中还原为PE

13a36ea56290c6f93edfcf3a4c41a18f从xxxx.dat和edge.xml文件中读取数据并在内存中还原为PE

9365dadd184585de8e7e28384803ed93从xxxx.dat和xxxx.xml文件中读取数据并在内存中还原为PE

d9352655d7e9164607f3d01ac5d2ff0c从config.ini文件中读取数据并在内存中还原为PE

c13e4e7787ebd5605c9ad1a3de148a15从sqm.dat文件中读取数据并解密出远控木马

3.4.2 下载载荷文件

攻击者还会在自建的服务器或者云服务平台上创建恶意文件，启动器运行后从对应的地址上下载文件，并执行后续阶段的恶意功能。

从自有服务器地址下载文件：

965f0223e27c1af313e39d7ea016616c从FTP服务器中下载木马模块

d06916f1ca25a36ceb30b559006a3e7b从木马服务器oqlap5.2xsi[.]cn下载恶意文件act.rar

b362d702048aa693a7591335cc767764从木马服务器20.205.25[.]117下载木马载荷ser.txt

从云平台下载文件：

b402f1eeba8e6d7a26bf0d24c5254eed从云平台下载多个PE文件，包括木马文件KwMusicCore.dll

8ea13069afecb0cafa4e064ab7826bdb从云平台下载恶意模块d204.dll

3.5 解密攻击载荷

从文件中读取或者网络上下载的数据，加载到内存后，需要进一步解密还原出原本的恶意代码

ec373011704e5baf4821273cb373e419 通过异或和取余运算进行解密

887a04cda34f7af3f350fd5f4d7a10c2通过异或和取运算进行解密

FA4C32B79F9B2BFED5217F86040338F7 通过异或和取余运算进行解密

9365dadd184585de8e7e28384803ed93通过异或运算进行解密

a68933fddef808075b204e3a01d6125b通过异或和取余运算进行解密

afde3c42bec08fd5a5a6f4047c02fc06通过异或和取余运算进行解密

3.6 执行攻击载荷

3.6.1 白+黑启动

启动器在加载恶意模块的过程中，还大量使用的白+黑和代码注入技术，即通过一个具有合法数字签名的白文件来加载恶意的DLL文件，或者将恶意代码注入到系统进程，因为具有签名的软件文件和系统进程文件都在白名单内，黑客尝试将恶意代码藏匿在其中运行来躲避杀毒软件的检测。

情报速递20240509｜"银狐"钓鱼团伙2024年1-5月攻击趋势

正文

请到「今天看啥」查看全文