在2023年初至今，深信服深瞻情报实验室监测到东南亚区域的中文黑灰产圈通过微信\QQ等即时通信工具、邮件以及伪造工具网站的方式大肆对境内金融、教育、电商、货运、设计等各行各业进行钓鱼攻击，其主要目的为攻击相关公司的财务或信息人员，进行诈骗活动窃取目标资金或获取其他信息数据。

在初始的时候，友商根据某些活动将该行动的背后团伙称为“银狐”、“谷堕”组织等。但随着深入跟踪发现，发现该类型的网络攻击诈骗行动囊括了大量的黑产团伙，且该类黑产团伙攻击频率相当之快，其中的大部分团伙使用“winos”这款由ghost远控修改而来的变种作为控制软件，攻击技战术也基本相同，使用“银狐”、“谷堕”作为组织名称已经造成安全圈一定的分析、归因混乱。所以我们将该类型的网络攻击诈骗行动背后的黑产团伙合并为“银狐”集合体，针对其中的每个团伙分类追踪。

以微信/QQ等聊天软件传播为主要途径。

邮件/SEO广告伪造虚假网站钓鱼投递恶意文件：

根据多个团伙的分析结果，整理出该类型攻击的整体攻击链，相关信息如下图。

黑产团伙将恶意文件伪装成办公软件(钉钉、微信、wps)、PS、PDF转换器安装包，诱导目标执行该恶意文件。

黑产团伙将恶意文件伪装发票、税收、财务、保险、证券压缩包。

黑产团伙将恶意文件伪装成各种图片类型的文件。

黑产团伙将恶意文件伪装成方案、设计类型。

为了对该集合体有更清晰的认知与了解，我们详细分析了该集合体中的四个团伙的背景、传播方式、技战术、恶意组件等信息。

团伙背景：

该团伙主要使用虚假下载站、即时通信工具（微信、QQ）等向目标投递或扩散恶意exe文件，其投递的部分恶意exe文件会窃取相关证书并进行伪造（签名无效，校验不通过），将第二阶段载荷数据存放于其资源数据，解密资源数据释放第二阶段载荷，第二阶段载荷并未采用传统的DLL侧加载技术进行载荷加载，而是利用白文件加载配置文件执行漏洞（利用白文件更新机制执行lua脚本），下表为相关恶意文件信息。

攻击技战术：

案例样本分析：

其投递的第一阶段载荷通过伪造合法证书签名信息的方式以规避杀软。

该组件将其第二阶段载荷存放于资源数据中，并检测系统是否存在杀软，如存在则弹框提示用户退出杀毒软件。

对资源数据取反解密并写入目录“C:\Users\Public\Downloads”下的随机文件夹中。

释放的文件信息如下

释放的文件信息说明如下表。

xxxxx.exe加载执行同目录下的同名dat文件中的恶意lua脚本，lua脚本内容如下，加载其中硬编码的shellcode。

该硬编码shellcode会读取edge.xml文件，并修补其头部5个字节（异或0x30 + 0x30），并在内存中加载修补后的edge.xml文件

修补后的edge.xml文件会创建任务计划用于执行上述的白文件实现主机驻留。

接着解密最终载荷edge.jpg文件并加载执行，图片的数据构造为正常图片数据 + 加密数据 + 四字节加密数据偏移 + 一字节初始异或密钥（每轮异或解密后，密钥值加一）。

解密出的载荷为gh0st远控变种，拥有键盘记录、远程命令执行、文件浏览、浏览器信息窃取等功能，其C2地址为“wtkblq.com:7070”，并尝试从“http[:]//38.55.184.74/ip.txt”获取新的C2地址。

网络基础设施：

网空测绘特征：

检测Yara规则：

团伙背景：

该团伙通过在通信工具（微信、QQ）投递税务相关标题的诱饵，诱饵中包含pyinstaller打包恶意文件，具有较好的静态免杀效果。采用多种加密算法加密shellcode，来对抗流量设备的检测。目前收集到该团伙使用的远控组件有普通gh0st及其变种银狐winos，在远控组件的选择上该团伙比较灵活多变。

攻击技战术：

案例样本分析：

钓鱼压缩包解压后是一个伪装成word文档的exe可执行文件，由pyinstaller打包。

解包后，可以看到，样本使用ftp从攻击者C2下载了两个文件：KuGou.exe、76_ChaCha20_Emoji.exe。KuGou.exe为白文件无恶意行为，76_ChaCha20_Emoji.exe会在内存加载shellcode，在内存在加载Gh0st远控。

在该ftp服务器上，我们下载到了以下第二阶段载荷，文件名的第一个数字为外联IP的最后一位。

这些载荷也都是使用pyinstaller，解包后，分析代码可知，样本从攻击者C2下载一段加密数据，每个字符减去128512后再转成字符，接着解base64，最后用chacha20解密数据，再解base64得到最终的shellcode，申请内存后，创建线程执行。而且每个文件都有对应的下载链接和解密的key。

执行的shellcode会在内存中加载一个DLL可执行文件，为gh0st远控程序。

250_ChaCha20_Emoji.exe加载的是普通gh0st变种。

另外4个文件加载的是winos变种（谷堕）。

我们还在该ftp服务器上找到一个与kugou.exe相似，但其功能会破坏系统安全的程序360Safe_boxed.exe。

该程序会遍历进程，向360tray.exe和360safe.exe这两个360安全防护进程的所有线程发送WM_QUIT消息，使线程结束，从而关闭360安全防护。

网络基础设施：

网空测绘特征：

该组织并没有很明显的网空特征，从文件名上能找到一些数据的关联，但并不能做为特征。第二阶段的载荷名称构造为[远控IP最后一位]_[主体加密算法名称]_[未知含义字符串].exe。文件也是托管在ftp服务器上，ftp用户名之间没有联系，密码也是随机生成的，远控组件连接的端口也没有规律，缺少深入挖掘的线索。

检测Yara规则：

团伙背景：

该团伙常用使用虚假下载站托管虚假安装包去诱骗用户执行恶意文件，在后续中也用到各种在微信/QQ等聊天软件中钓鱼的压缩包，压缩包中包含一个可执行文件，执行时本体只下载执行shellcode，shellcode中反射加载的dll，负责部署白+黑侧加载攻击组件，以及下载最后阶段的shellcode落地为jpg文件或者保存到注册表，最后由白进程加载恶意dll读取执行shellcode，在内存中加载winos远控程序。

攻击技战术：

案例样本分析：

下载正版的美图秀秀安装包，并执行迷惑用户。

使用硬编码的url下载winos生成的shellcode文件hackbrian2192bai.jpg，并写入到文件C:/Users/Public/Documents/hackbrian2192bai.jpg（样本的C2目前仍然存活，记录时间2023-10-10）。

hackbrian2192bai.jpg中的shellcode会在内存中反射加载一个dll，该dll先从攻击者C2下载文件到C:\\Users\\Public\\Music\\windows.exe并执行，释放4个文件到C:\\Users\\Public\\Documents\\。

hackbrian2192bai.jpg中的shellcode会在内存中反射加载一个dll，该dll先从攻击者C2下载文件到C:\\Users\\Public\\Music\\windows.exe并执行，释放4个文件到C:\\Users\\Public\\Documents\\。

释放的文件功能如下。

随后使用com接口创建文件快捷方式文件111.lnk，使用config.exe加载shell32.dll去修改注册表项，将注册表中的开机启动菜单目录修改为C:\\Users\\Public\\Documents\\DlkKkLmFGU。

将CCMini.lnk复制到C:\\Users\\Public\\Documents\\DlkKkLmFGU中重命名为“微软虚拟服务”，做为开机启动项，去启动CCMini.exe。

最后执行“运行”，通过消息窗口传递C:\\Users\\Public\\Documents\\hh\\111.lnk，来执行111.lnk实现持久化。

前面的操作都是为了服务于windows.exe，该程序会下载gdagew2192ufaeqfga.jpg并在内存中加载winos远控程序，外联C2：yunbochuanmei.com。

8月份之后的样本略有不同，使用更加广泛的诱饵内容进行钓鱼，压缩包中包含一个[4个数字].exe的可执行文件。

文件执行后会将文件复制到Public目录，重新执行后从攻击者C2下载shellcode并执行。

shellcode会在内存中反射加载一个恶意dll，该dll从攻击者C2下载3个文件UnityPlayer.dll，ttd.exe，389.CHM，存放在C:\\Users\\Public\\Documents\\目录下。

以及下载shellcode存放在HKEY_CURRENT_USER\Console的zdmxd360nzmj和njsgsb360dsb值中，两个值保存的数据是相同的。

随后创建HKEY_CURRENT_USER\Console的Console_b的值存放运行时间，弹出错误提示窗口。

最后读取注册表njsgsb360dsb的值，执行shellcode。

389.CHM中带有高度混淆的vbs脚本（由jsjiami.com加密处理后的代码），通过调试发现该样本会修改注册表中的开机启动目录的路径，该路径放置着ttd.exe和UnityPlayer.dll，由此实现持久化。

有意思的是389.CHM中会检测时间戳来决定是否修改注册表，硬编码时间戳1693363320000为2023-08-30 10:42:00，超过这个时间则不修改注册表。

hrsgdsb4647wknzms.jpg会解析文件尾部的配置信息（|p1:112.124.64.7|o1:4647|t1:1|p2:112.124.64.7|o2:4647|t2:1|p3:112.124.64.7|o3:80|t3:1|dd:1|cl:1|fz:默认|bb:1.0|bz:2023. 5.23|jp:0|bh:0|ll:0|dl:0|sh:0|kl:0|bd:0）是winos特有的配置信息结构，该shellcode类似于cobaltstrike生成的stage。

网络基础设施：

网空测绘特征：

域名构造方式：[月份]-[日期].oss-cn-hangzhou.aliyuncs.com，虽然域名中的日期到9-8，但域名的使用时间在7月份，在此之前都是使用这种命名方式。

而在8月份之后使用的是2023[月份][日期].oss-cn-hangzhou.aliyuncs.com。

根据上面的分析可以在VirusTotal上搜索相似格式的域名。

下载的内容内嵌一个可执行文件（winos远控），没有任何加密，在文件偏移0xB00+可以找到PE文件数据，落地文件集中在C:\Programdata\和C:\Users\Public\等目录。url构造[4个数字].jpg、[数字].bin、[数字].txt，诱饵为安装包诱饵和[4个数字].exe。

检测Yara规则：

团伙背景：

攻击者主要使用虚假下载站、即时通信工具（微信、QQ）等向目标投递或扩散恶意exe文件或发送chm文件作为第一阶段载荷，其会通过chm文件中包含的恶意脚本从云存储服务(OSS)下载第二阶段载荷，第二阶段载荷通过多轮加载以及解密，最终执行Ghost远控变种TinaMa。在对该团伙的相关基础设施进行分析的过程中，发现该团伙疑似同时与境外赌博存在一定的关联，下表为相关恶意文件信息。

攻击技战术：

案例样本分析：

其投递的第一阶段载荷为chm，该脚本根据执行环境解码内置的3段stage载荷并执行（base64编码）。

第一段载荷stage1用于关闭“DisableActivitySurrogateSelectorTypeCheck”类型检查以绕过高版本框架对ActivitySurrogateSelector类的滥用。

stage2与stage3实际为同一功能的载荷，用于下载第三阶段载荷以及执行内嵌的x86或x64平台shellcode。

该部分对stage2进行分析，可以看到其存在PDB路径“E:\\2023-TianMa~\\TMAir_Ghost10.0_dev_vs2022标记v4.2.0\\CHM\\KH\\TestAssembly\\obj\\Release\\TestAssembly.pdb”，表明其该攻击者使用的后续载荷为Ghost10.0版本修改的变种，且名称为TianMa。

其会将要下载的url路径与文件名称写入用户%temp%目录下以当前进程PID形成的文件中，用于后续的文件下载。

接着其会根据执行环境执行内嵌的x86或x64 shellcode代码。

执行的shellcode是一个下载器，其会在%temp%目录下创建随机目录，并将上述相关文件下载到对应目录。

共下载了5个文件，相关文件信息如下表

在下载文件后，其会使用ap压缩算法对libcef.dll进行解压缩，解压出一个巨大的libcef.dll文件，该文件使用DLL侧加载技术被libcef.exe文件所加载，将所有被调用的函数导向该恶意函数，其会解密libcef.png文件并调用其导出函数“fuckyou”，解密所需要的信息在PNG文件头部。

加密的png文件头部信息如下

通过分析解密的libcef.png文件为上述提到的TianMa远控，该远控拥有Ghost远控所拥有的的功能，包括但不限于键盘记录、文件浏览、命令执行、浏览器信息窃取等功能，其连接C2地址为“103.210.237.33”。

该远控通过命令调用decod.exe文件解压cache.dat 7z加密压缩包。

cache.dat压缩包解压后的文件如下，该文件疑似为上海迈微软件科技有限公司的逍遥模拟器组件，攻击者利用该模拟器组件执行相关恶意功能。

网络基础设施：

网空测绘特征：

检测Yara规则：

winos是”银狐“集合体中使用频率极高的远控，源码在免杀QQ群，黑产交流群都能以极小的金钱买入，编译好的winos工具更是在各处可见。通过对我们收集到的大量样本进行分析后，共发现32种pdb路径信息(不排除还有其他路径)，其中都包含有“Winos”，”上线模块“等关键字眼，而且数据显示有73%的样本使用的是“谷堕”这份源码，其余占比较小的疑似为源码泄露后被多个个体用于攻击行动。

在winos的源码中可以看到该远控程序的多种模块，在上文分析中所说的上线模块也在其中，该模块做为基础模块，攻击者选择开启某个功能时，会传输相应的插件dll在上线模块中加载。

目前编译好且流传较广泛的版本为：”HackBrain VIP会员版”，“winos 4.0”，winos的控制界面如下，通过该控制端来展示winos的基础功能。（winos的客户端生成非常简单，为了保持连接的稳定，采用双域名循环访问以及一个备用域名，以此来保证连接的稳定。演示的winos只提供两个额为功能，这部分可以进行二次开发进行添加。通信方式为TCP和UDP且可以自定义通信密码，保证通信内容不被轻易识别）。

winos功能详细说明如下表。

在对银狐这个黑产集合体追踪中，我们发现了其中某团伙使用Ghost10.0远控改造而成的变种TianMa，该变种的功能与其他ghost变种并没有多大变化，包括但不限于命令执行、文件管理等。

在某些事件中，我们还观察到某些团伙使用了商业的网络监控软件作为控制端，“第三只眼”被黑产团伙用于控制目标机器。

ghost远控木马从被公开至今一直为中文黑灰产圈所钟爱，并衍生出了各种各样的变种，本类型攻击活动中大部分控制软件也由其衍生而来。

1. 在控制目标机器后，攻击者会控制目标办公交流账户（微信、钉钉）等对财务进行诈骗活动。

2. 远程操控微信/QQ等聊天软件使用被入侵机器登陆的账户进行诈骗或者使用被控账号进行恶意文件扩散。

3. 攻击者在无法获取到经济利益后，可能会利用已控目标社交账号向其工作或生活圈子发布色情、政治或其他虚假内容以报复目标，造成目标社会性死亡。

4. 将被入侵机器作为肉鸡售卖给其他黑产团伙获利而不直接参与经济诈骗。

攻击者正大肆通过聊天软件、钓鱼等方式对境内全行业进行攻击，其将投递的恶意文件伪装成办公软件(钉钉、微信、wps)、工具安装包、发票、税收、财务、保险、证券、方案、设计等相关行业文件，诱导目标执行恶意文件导致被控制。在恶意文件执行的过程中，我们观察到攻击者使用各种云服务(主要是云存储服务OSS)作为第二阶段载荷的投递介质，通过加解密、DLL侧加载、BypassUAC、第三方合法软件恶意利用等方式以规避杀毒软件检测，巩固其控制质量。

攻击者在控制目标主机后对目标信息进行分析筛选，筛选出高价值目标（公司高管、老板、财务等人员），通过身份伪装或语言诱导的方式对相关人员实施金融诈骗活动。在我们观察到的案例中，当诈骗人员诈骗行动失败后，其可能会控制目标社交账号发送色情、虚假政治等方面信息，造成目标社会性死亡。

该类型攻击活动在2023年呈现高频率、持久性长的特点，希望相关人员警惕。

1、 不从陌生、奇怪网站下载办公之类的软件，推荐搜索官网并下载。

2、 针对他人发来的文件，通过语音或视频方式进行沟通了解后打开，不打开莫名其妙的文件。

3、 相关单位对高价值人员实施专项培训，降低该类型攻击的成功率。

4、 安装安全防护软件。