情报速递20240524｜"银狐"团伙使用核酸检测退费发票信息主题的钓鱼攻击增多

情报速递20240524｜"银狐"团伙使用核酸检测退费发票信息主题的钓鱼攻击增多
2024-5-24 14:44:36 Author: mp.weixin.qq.com(查看原文) 阅读量:30 收藏

1.背景

最近一段时间，腾讯安全科恩实验室（以下简称“腾讯科恩”）对"银狐"钓鱼团伙保持着紧密的跟踪和分析。近日，腾讯科恩新发现了利用 "核酸检测退费" 和 "发票信息" 作为主题的钓鱼样本有增多的趋势。这两种类型的样本分别通过聊天软件和邮件进行传播。以"电子发票下载"为标题的钓鱼邮件正文包含"查看发票"等关键词，以实现诱导接受者点击钓鱼木马链接。同时，腾讯科恩发现，在恶意代码执行过程中，会通过使用大量字符拼接数据的方式对抗杀软静态特征检测。基于最新线索，腾讯科恩对相关样本进行了简要分析如下，文后会提供一些相关IOC，以供政企用户进行回扫和检测，避免受到相关威胁的影响。

钓鱼邮件案例：

若用户点击邮件中附带URL会跳转至某云厂商上的木马下载地址：

2.钓鱼文件

在钓鱼诱饵文件命名方式上，除了以往常用的"**社保"，"**名单"，"**抽查"外，在5.22日出现某些医疗单位开始对符合条件的市民进行退换核酸检测费用的相关新闻后，随即捕获到了名为"2024年每个地区医院通知退核酸捡测费用流程.rar"的钓鱼攻击文件。

md5	钓鱼文件名(含解压文件)	发现攻击时间
9158492df75d0446dc05114efbeac1a6	抽查程序k.exe	2024/5/20 22:34
58805d04d1e6bc7055bdeff2c6ff28b7	2024年缴纳社保调整如下.zip	2024/5/20 22:37
0e5bee2fdee04b4eddb50056cec0c9f9	登录操作查询系统.exe	2024/5/21 12:56
7d72adb41674d089cd42d42c9c3dd516	登录操作查询系统.exe	2024/5/21 14:27
ff245fcf89c97e0ef4bad14c22b1a6e6	4月份公司违章违规处罚名单.rar	2024/5/21 15:12
f81573e824278d6ed1f84906f8c13d37	4月份公司违章违规处罚名单.rar	2024/5/21 15:16
7715cc70384f8cc4cce08eae3d6dd1a4	水务抽查.rar	2024/5/21 16:07
db05b0e1b723055a96c1fc04ef8f1b88	2024***局关于企业和个人所得税政策N.exe	2024/5/21 18:40
630d3e486bf119b72ae845f9697b7828	2024年缴纳社保调整如下.rar	2024/5/21 19:37
bdbff0f6d79f3f3d4ccb9ced5f64da06	5月份公司违规处罚名单.rar	2024/5/22 13:46
09a7b98e932af91dd3ed5cb6bc69ba7b	2024年每个地区医院通知退核酸捡测费用流程.rar	2024/5/22 13:48
84d9270e3368d84a3df1a15795cc2207	企业抽查对象.rar	2024/5/22 14:01
3b063753c0710cf7713d15e810533eaa	ToL终端 - 副本.exe	2024/5/22 17:12
f927240653bacd66f89bc7e843466037	ToL终端.exe	2024/5/22 17:16
c2bb71628c847a8652bc8ed99ef52f3e	票292583150065管理m.exe	2024/5/23 0:54
01b7c35a2ae0596d3e00df4a6692d497	2024年缴纳社保调整如下.zip	2024/5/23 10:28
67f2b08bc8f46b316a9ddf2d580abfb3	2024税务稽查违规涉税企业名单（电脑版）.zip	2024/5/23 10:42
635f06c287153ef89c8ba7bbe9a159a5	2024年度税务稽查企业名单公示.zip	2024/5/23 12:46
a56829022d2f241bac63fd41b81cc215	医院通知退核酸检测费用《电脑版》.zip	2024/5/23 13:06

3.技术分析

在攻击技术方面，恶意样本母体作为下载器从多个不同的URL下载rar或png格式Payload文件，解密后加载到内存，利用EnumDateFormatsA函数执行回调的方式执行shellcode，最终运行远程控制木马。同时，木马还通过动态获取系统API函数、使用大量字符拼接数据的方式对抗静态特征检测。

样本中嵌入了大量字符：

将字符拼接组合得到加密数据：

逐字节读取数据，解密出恶意代码并加载到内存：

动态加载Windows系统模块并调用所需函数：

下载payload文件xingpai.weilay.com[.]cn/llq.rar，利用EnumDateFormatsA函数执行回调的方式执行shellcode：

相关IOC

MD5:

9158492df75d0446dc05114efbeac1a6

58805d04d1e6bc7055bdeff2c6ff28b7

0e5bee2fdee04b4eddb50056cec0c9f9

7d72adb41674d089cd42d42c9c3dd516

ff245fcf89c97e0ef4bad14c22b1a6e6

f81573e824278d6ed1f84906f8c13d37

7715cc70384f8cc4cce08eae3d6dd1a4

db05b0e1b723055a96c1fc04ef8f1b88

630d3e486bf119b72ae845f9697b7828

bdbff0f6d79f3f3d4ccb9ced5f64da06

09a7b98e932af91dd3ed5cb6bc69ba7b

84d9270e3368d84a3df1a15795cc2207

3b063753c0710cf7713d15e810533eaa

F927240653BACD66F89BC7E843466037

c2bb71628c847a8652bc8ed99ef52f3e

01b7c35a2ae0596d3e00df4a6692d497

67f2b08bc8f46b316a9ddf2d580abfb3

635f06c287153ef89c8ba7bbe9a159a5

a56829022d2f241bac63fd41b81cc215

URL:

https[:]//wwwhjhjjsjgj15-1326536099.cos.ap-guangzhou.myqcloud[.]com/GHJGJ150/setupPDF3.exe

https[:]//iciigkudpg-1323099064.cos.ap-beijing.myqcloud[.]com/u9jIP5TGA9U6S.html

https[:]//kmfisqbrdi-1323099064.cos.ap-beijing.myqcloud[.]com/cNm03.html

https[:]//canxnquxul-1323099064.cos.ap-beijing.myqcloud[.]com/dan.htm

http[:]xingpai.weilay.com[.]cn/llq.rar

http[:]//xingpai.weilay.com[.]cn/trx37.zip

entirehub[.]xyz/update/2.png

greenka[.]homes/update/2.png

studenthome[.]top/head/2.png

hellohouse[.]life/update/2.png

www.dgsksc[.]com/head/2.png

Domain：

xingpai.weilay.com[.]cn

entirehub[.]xyz

greenka[.]homes

studenthome[.]top

hellohouse[.]life

www.dgsksc[.]com

IP：

143.92.42[.]212

产品体验

文章来源: https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247507553&idx=1&sn=b4a901fce1ee34994739f9bd81844e47&chksm=ec9f0712dbe88e04f09a789288af48e7d157ce7a8e0e00b0b4a9fdb097f31e20de837697377c&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh