银狐再起风波:2024税务抽查引战勒索风暴

图片

近日,在日常网络狩猎过程中,亚信安全威胁情报中心的研究专家偶然发现了一个团伙,该团伙不仅在QQ群内散播钓鱼链接,还通过伪造的下载网站推广含有恶意软件的EXE文件。面对这一明显的威胁传播行为,该专家迅速组织了威胁情报中心运营团队成员共同投入调查工作。经过一段细致的追踪与分析,威胁情报团队最终确定,这次网络攻击的背后黑手是众人皆知的银狐相关团伙,一个被大家熟知的老对手。

银狐组织样本下载

安全研究专家和运营人员发现这些恶意文件使用了巧妙的手法:盗用合法证书并伪造,以掩盖其真实面目。这些文件将攻击代码隐藏在加密的资源部分中,只在特定时机解密释放下一阶段的攻击。这种方法巧妙地规避了传统的攻击路径,利用正常文件加载配置文件执行恶意Lua脚本,通过常规应用的更新机制触发攻击。

进一步调查揭示了关键的恶意文件信息,详细描述了它们的操作方式和攻击手段。他们发现这些文件中藏有Windows、macOS和Android三平台的木马,点击下载后会跳转至仿冒的Telegram站点下载MSI安装包。这个安装包具有反调试功能,能检测虚拟机环境并阻止后续安装过程。

图片

投递的第一阶段会伪装成第三方应用安装包的母体程序,具备合法的签名,以规避杀软检测。

图片

msi释放的应用程序会加载执行同目录下的同名dat文件中的恶意lua脚本,最终载荷为gh0st变种,与以往手法一致。

银狐相关团伙在qq群中发起钓鱼攻击

与此同时,安全研究专家也发现了黑灰产利用税务稽查局抽查企业的话题,通过仿冒税务局专管员在QQ上投放钓鱼链接的行为。专家从钓鱼链接中嗅到了不同寻常的气味,发现钓鱼诱饵以“发票”、“单据”、“税收”等极具诱惑性的名字命名,诱导企业财务出纳人员点击并传播钓鱼链接,利用白加黑的方式进行多阶段投毒。

图片

在拓线过程中发现该团伙擅长盗用企业的数字签名并加上upx壳,利用白加黑的方式加载后续shellcode,利用此种方式进行免杀。

图片

攻击过程详细分析

本次钓鱼活动中,该团伙首先进行信息收集,瞄准目标群体,通过群聊及邮件的方式进行钓鱼,在后渗透阶段则会使用cobaltstrike批量上线。

作案团伙的QQ号为:23XXXXXX12,注册信息如下所示:

图片

并以税务、发票有关的图片设为图标,增强可信度,符合该团伙历史作案手法。

图片

钓鱼链接发生js重定向

图片

域名解析到IP:8[.]212[.]64[.]241

图片

相关url可下载shellcode、安装包、自解压文件、配置文件、可执行程序等。

图片

关联文件如下。

图片

作者名字设为shuiwuju,仿冒税务局进行攻击

图片

在拓线过程中发现该组织擅长盗用企业的数字签名并加上upx壳,利用白加黑的方式加载后续shellcode,利用此种方式进行免杀。

图片

查看下载的文件:

图片

shellcode中发现疑似cc的域名

图片

样本使用了大量阿里云的oss静态存储桶,部分记录如下:

图片

结合路径特征猜测该团伙可能会通过邮件伪造虚假网站钓鱼的方式进行恶意样本投递:

图片

拓线后发现*_64.bin是cobaltstrike的shellcode,关联过程如下:

图片

该团伙使用香港地区ip作为服务端存放样本,并使用HFS框架,与之前手法一致:

图片

该团伙以往经常使用HFS搭建文件存储服务,下载一个税务稽查、律师函之类比较敏感的文件,最后释放gh0st远控。

亚信安全应对之策及安全建议

银狐相关团伙采用向即时通讯软件的桌面客户定向发送钓鱼链接的策略,诱使用户激活并执行恶意代码。这个过程不仅广泛影响众多用户,而且针对性地在特定群组中进行传播,使得这种攻击既普遍又隐蔽。这种既广泛又有选择性的传播策略,对现有的网络安全防御构成了严峻挑战,因为它充分利用了用户对日常使用通讯工具的信任和依赖,从而使得恶意软件的传播更为隐蔽,给早期检测和应对带来了复杂性。

在此次攻击活动中使用的手法总结如下:即时通讯软件中投放钓鱼链接、定向发送钓鱼邮件、钓鱼诱饵以“税收”、“票务”等为主题、利用阿里云函数对C&C进行隐藏、使用香港ip作为服务器、搭建HFS平台储存样本、样本使用upx加壳、盗用企业签名、利用白加黑加载恶意dll、后渗透阶段使用cobaltstrike加载shellcode。

天穹ImmunityOne是亚信安全部署在公有云上的XDR SaaS平台,基于云原生(Cloud Native)架构实现多租户管理,将采集到的高保真数据集中存储形成安全数据湖,由威胁分析专家根据安全事件线索进行威胁狩猎,提炼威胁情报,共享至全网所有客户,实现高级威胁的“一地检测,全网免疫”。ImmunityOne现已能对此次事件进行检测:

图片

此外,需注意以下安全建议:

  • 建议全面部署亚信安全防病毒产品,并及时更新组件;

  • 由于银狐木马多采用内存加载、白加黑攻击的形式;对于已感染主机须在查杀后手动停止相关进程;

  • 银狐木马的攻击者可能会利用木马安装其他持久化组件,如xx终端安全管理系统,或其他远程软件;如确认非用户安装,请及时卸载和清理;

  • 对于无法检测的样本、恶意组件,请联系亚信安全服务团队协助处置。

面对银狐这样的高风险黑产工具,各行各业需要加强警惕,采取更有效的安全措施,以防范可能发生的网络安全事件,保护企业和公众的安全与利益。

威胁态势月报

除银狐外,亚信安全还对近期的勒索情况、恶意病毒、高危漏洞和APT攻击等威胁态势进行了分析总结,详见《亚信安全2024年3月威胁态势月报》。

图片

图片

图片

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/785111.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

个人偏好测验,职业倾向分析和HR人才测评量表

个人偏好测验,以人的15种需求为理论基础,用来鉴别我们在这15个维度的倾向,从而为分析人格特征、职业倾向提供依据。15种需求理论最早由美国心理学家murray在1938年提出。 个人偏好测验,也叫个人爱好测试,人的需求因子…

网络体系结构概述

目录 1. OSI/RM参考模型1.1. 物理层1.2. 数据链路层1.3. 网络层1.4. 传输层1.5. 会话层1.6. 表示层1.7. 应用层 2. TCP/IP参考模型3. 理解OSI七层模型 网络体系结构是线代网络技术的整体蓝图。 1. OSI/RM参考模型 开放互联参考模型(Open System Interconnection/…

备考ICA----Istio实验12---配置双向TLS Istio Ingress Gateway实验

备考ICA----Istio实验12—配置双向TLS Istio Ingress Gateway实验 本实验部分配置延续上个Istio实验11 1. 重新配置secret 重新配置secret使其带有ca证书可以验证客户端证书是否合法 先删除原有secret,再配置新的secret # 删除原tls类型的secret kubectl -n istio-system d…

【Django开发】0到1美多商城项目md教程第4篇:图形验证码,1. 图形验证码接口设计【附代码文档】

美多商城完整教程(附代码资料)主要内容讲述:欢迎来到美多商城!,项目准备。展示用户注册页面,创建用户模块子应用。用户注册业务实现,用户注册前端逻辑。图形验证码,图形验证码接口设…

网安基础2-Sniffer的使用与防范

1. 嗅探器sniffer的工作原理 能捕获经过该网络设备的报文,通过分析网络流量,找出关键信息,解决网络问题。 不同于键盘捕获程序,如keylogger利用中断或钩子技术,Sniffer将网络接口置成适当的模式,如杂收。…

【小黑送书—第十八期】>>让工作自动化起来!无所不能的Python(文末送书)

随着我国企业数字化和信息化的深入,企业对办公自动化的效率和灵活性要求越来越高。Python作为一种开源的软件应用开发方式,通过提供强大丰富的库文件包,极大地简化了应用开发过程,降低了技术门槛。Python开发有哪些优势、挑战以及…

产品经理的进阶之路

点击下载《产品经理的进阶之路》 1. 前言 本文深入剖析了产品经理这一职业从产品专员起步,逐步晋升为产品经理、高级产品经理,直至产品总监的整个职业发展路径。在每个阶段,产品经理都需承担不同的工作职责,展现出独特的职业特点。 2. 产品专员 关键词【产品需求/原型/文…

《QDebug 2024年3月》

一、Qt Widgets 问题交流 1. 二、Qt Quick 问题交流 1.Qt5 ApplicationWindow 不能使用父组件 Window 的 transientParent 属性 ApplicationWindow 使用 transientParent 报错: "ApplicationWindow.transientParent" is not available due to compone…

Python程序设计 多重循环

教学案例六 多重循环 1.n之内的素数 输入n,显示n之内的所有素数 每行显示10个素数 例如,若输入500,结果如图所示 neval(input()) #代码开始 c 0for i in range(2, n1):for j in range(2, i):if i % j 0:breakelse:c 1print("{:5d}…

四年旅程,一路成长——小雨的创作纪念日

四年旅程,一路成长——小雨的创作纪念日 收到来信,回顾与再开始回首起点,初探技术世界持续前行,从坚持到自信今日之感,持续分享与感恩【3.19故事对话】我一定可以!“新”认知状态变化感受复盘 朝着未来&…

Kubernetes(K8s)技术解析

1. K8s简介 Kubernetes(简称K8s)是一个开源的容器编排平台,旨在简化容器化应用程序的部署、扩展和管理。为开发者和运维人员提供了丰富的功能和灵活的解决方案,帮助他们更轻松地构建、部署和管理云原生应用程序。以下是关于Kubern…

C# OpenCvSharp-HoughCircles(霍夫圆检测) 简单计数

目录 效果 项目 代码 下载 效果 项目 代码 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using OpenCvSharp; using O…

http模块 服务器端如何响应(获取)静态资源?

一、静态资源与动态资源介绍: (1)静态资源 内容长时间不改变的资源。eg:图片、视频、css js html文件、字体文件... (2)动态资源 内容经常更新的资源。eg:百度首页、淘宝搜索列表... 二、服…

算法刷题笔记(3.25-3.29)

算法刷题笔记 3.25-3.29 1. 相同的树2. 二叉树的最近公共祖先3. 二叉搜索树中第K小的元素通过双端队列duque 中序遍历 4. 二叉树的锯齿形层序遍历new LinkedList<Integer>(levelList)双端队列复制 数组需要左右顺序&#xff0c;考虑双端队列 5. 岛屿数量6. 字典序排数&am…

python---基础(一)

文章目录 前言1.对象的基本组成2.变量和常量2.1.变量的声明2.2.常量_链式赋值_系列解包赋值2.2.1.常量是不是真的常量&#xff1f;2.2.2.链式赋值2.2.3.系列解包赋值 3.内置数据类型_基本算数运算符3.1四种内置数据类型3.2.基本运算符3.3.divmod() 前言 这几年&#xff0c;随着…

【Python】——变量名的命名规则

&#x1f383;个人专栏&#xff1a; &#x1f42c; 算法设计与分析&#xff1a;算法设计与分析_IT闫的博客-CSDN博客 &#x1f433;Java基础&#xff1a;Java基础_IT闫的博客-CSDN博客 &#x1f40b;c语言&#xff1a;c语言_IT闫的博客-CSDN博客 &#x1f41f;MySQL&#xff1a…

Dijkstra堆优化之蓝桥王国

Dijkstra堆优化 Dijkstra算法是一种用于解决单源最短路径问题的算法&#xff0c;即从图中的一个顶点出发到所有其他顶点的最短路径。然而&#xff0c;处理大图时&#xff0c;常规的Dijkstra算法可能会遇到性能问题。这就是Dijkstra的堆优化算法派上用场的地方。在堆优化版本中…

Python 用pygame简简单单实现一个打砖块

# -*- coding: utf-8 -*- # # # Copyright (C) 2024 , Inc. All Rights Reserved # # # Time : 2024/3/30 14:34 # Author : 赫凯 # Email : hekaiiii163.com # File : ballgame.py # Software: PyCharm import math import randomimport pygame import sys#…

OpenHarmony实战开发-如何使用rating组件实现星级打分功能。

介绍 本篇Codelab将引导开发者使用rating组件实现星级打分功能。 相关概念 rating组件&#xff1a;评分条&#xff0c;可根据用户判断进行打分。 环境搭建 软件要求 DevEco Studio版本&#xff1a;DevEco Studio 3.1 Release及以上版本。OpenHarmony SDK版本&#xff1a;A…

linux 一些命令

文章目录 linux 一些命令fdisk 磁盘分区parted 分区文件系统mkfs 格式化文件系统fsck 修复文件系统 mount 挂载swap 交换分区清除linux缓存df du 命令raid 命令基本原理硬raid 和 软raid案例raid 10 故障修复&#xff0c;重启与卸载 lvm逻辑卷技术LVM的使用方式LVM 常见名词解析…