情报速递20240524|"银狐"团伙使用核酸检测退费发票信息主题的钓鱼攻击增多
2024-5-24 14:44:36 Author: mp.weixin.qq.com(查看原文) 阅读量:32 收藏

1.背景

最近一段时间,腾讯安全科恩实验室(以下简称“腾讯科恩”)对"银狐"钓鱼团伙保持着紧密的跟踪和分析。近日,腾讯科恩新发现了利用 "核酸检测退费" "发票信息" 作为主题的钓鱼样本有增多的趋势。这两种类型的样本分别通过聊天软件和邮件进行传播。以"电子发票下载"为标题的钓鱼邮件正文包含"查看发票"等关键词,以实现诱导接受者点击钓鱼木马链接。同时,腾讯科恩发现,在恶意代码执行过程中,会通过使用大量字符拼接数据的方式对抗杀软静态特征检测。基于最新线索,腾讯科恩对相关样本进行了简要分析如下,文后会提供一些相关IOC,以供政企用户进行回扫和检测,避免受到相关威胁的影响。

钓鱼邮件案例:

若用户点击邮件中附带URL会跳转至某云厂商上的木马下载地址:

2.钓鱼文件

在钓鱼诱饵文件命名方式上,除了以往常用的"**社保","**名单","**抽查"外,在5.22日出现某些医疗单位开始对符合条件的市民进行退换核酸检测费用的相关新闻后,随即捕获到了名为"2024年每个地区医院通知退核酸捡测费用流程.rar"的钓鱼攻击文件。

md5

钓鱼文件名(含解压文件)

发现攻击时间

9158492df75d0446dc05114efbeac1a6

抽查程序k.exe

2024/5/20 22:34

58805d04d1e6bc7055bdeff2c6ff28b7

2024年缴纳社保调整如下.zip 

2024/5/20 22:37

0e5bee2fdee04b4eddb50056cec0c9f9

登录操作查询系统.exe

2024/5/21 12:56

7d72adb41674d089cd42d42c9c3dd516

登录操作查询系统.exe

2024/5/21 14:27

ff245fcf89c97e0ef4bad14c22b1a6e6

4月份公司违章违规处罚名单.rar 

2024/5/21 15:12

f81573e824278d6ed1f84906f8c13d37

4月份公司违章违规处罚名单.rar 

2024/5/21 15:16

7715cc70384f8cc4cce08eae3d6dd1a4

水 务 抽 查.rar

2024/5/21 16:07

db05b0e1b723055a96c1fc04ef8f1b88

2024***局关于企业和个人所得税政策N.exe   

2024/5/21 18:40

630d3e486bf119b72ae845f9697b7828

2024年缴纳社保调整如下.rar 

2024/5/21 19:37

bdbff0f6d79f3f3d4ccb9ced5f64da06

5月份公司违   规处 罚名 单.rar 

2024/5/22 13:46

09a7b98e932af91dd3ed5cb6bc69ba7b

2024年每个地区医院通知退核酸捡测费用流程.rar

2024/5/22 13:48

84d9270e3368d84a3df1a15795cc2207

企   业 抽 查 对 象.rar 

2024/5/22 14:01

3b063753c0710cf7713d15e810533eaa

ToL终端 - 副本.exe

2024/5/22 17:12

f927240653bacd66f89bc7e843466037

ToL终端.exe

2024/5/22 17:16

c2bb71628c847a8652bc8ed99ef52f3e

票292583150065管理m.exe

2024/5/23 0:54

01b7c35a2ae0596d3e00df4a6692d497

 2024年缴纳社保调整如下.zip 

2024/5/23 10:28

67f2b08bc8f46b316a9ddf2d580abfb3

2024税务稽查违规涉税企业名单(电脑版).zip 

2024/5/23 10:42

635f06c287153ef89c8ba7bbe9a159a5

2024年度税务稽查企业名单公示.zip 

2024/5/23 12:46

a56829022d2f241bac63fd41b81cc215

 医院通知退核酸检测费用《电脑版》.zip

2024/5/23 13:06

3.技术分析

在攻击技术方面,恶意样本母体作为下载器从多个不同的URL下载rar或png格式Payload文件,解密后加载到内存,利用EnumDateFormatsA函数执行回调的方式执行shellcode,最终运行远程控制木马。同时,木马还通过动态获取系统API函数、使用大量字符拼接数据的方式对抗静态特征检测。

样本中嵌入了大量字符:

将字符拼接组合得到加密数据:

逐字节读取数据,解密出恶意代码并加载到内存:

动态加载Windows系统模块并调用所需函数:

下载payload文件xingpai.weilay.com[.]cn/llq.rar,利用EnumDateFormatsA函数执行回调的方式执行shellcode:

相关IOC

MD5:
9158492df75d0446dc05114efbeac1a6
58805d04d1e6bc7055bdeff2c6ff28b7
0e5bee2fdee04b4eddb50056cec0c9f9
7d72adb41674d089cd42d42c9c3dd516
ff245fcf89c97e0ef4bad14c22b1a6e6
f81573e824278d6ed1f84906f8c13d37
7715cc70384f8cc4cce08eae3d6dd1a4
db05b0e1b723055a96c1fc04ef8f1b88
630d3e486bf119b72ae845f9697b7828
bdbff0f6d79f3f3d4ccb9ced5f64da06
09a7b98e932af91dd3ed5cb6bc69ba7b
84d9270e3368d84a3df1a15795cc2207
3b063753c0710cf7713d15e810533eaa
F927240653BACD66F89BC7E843466037
c2bb71628c847a8652bc8ed99ef52f3e
01b7c35a2ae0596d3e00df4a6692d497
67f2b08bc8f46b316a9ddf2d580abfb3
635f06c287153ef89c8ba7bbe9a159a5
a56829022d2f241bac63fd41b81cc215
URL:
https[:]//wwwhjhjjsjgj15-1326536099.cos.ap-guangzhou.myqcloud[.]com/GHJGJ150/setupPDF3.exe
https[:]//iciigkudpg-1323099064.cos.ap-beijing.myqcloud[.]com/u9jIP5TGA9U6S.html
https[:]//kmfisqbrdi-1323099064.cos.ap-beijing.myqcloud[.]com/cNm03.html
https[:]//canxnquxul-1323099064.cos.ap-beijing.myqcloud[.]com/dan.htm
http[:]xingpai.weilay.com[.]cn/llq.rar
http[:]//xingpai.weilay.com[.]cn/trx37.zip
entirehub[.]xyz/update/2.png
greenka[.]homes/update/2.png
studenthome[.]top/head/2.png
hellohouse[.]life/update/2.png
www.dgsksc[.]com/head/2.png
Domain:
xingpai.weilay.com[.]cn
entirehub[.]xyz
greenka[.]homes
studenthome[.]top
hellohouse[.]life
www.dgsksc[.]com
IP:
143.92.42[.]212

产品体验





文章来源: https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247507553&idx=1&sn=b4a901fce1ee34994739f9bd81844e47&chksm=ec9f0712dbe88e04f09a789288af48e7d157ce7a8e0e00b0b4a9fdb097f31e20de837697377c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh