银狐再起风波:2024税务抽查引战勒索风暴

图片

近日,在日常网络狩猎过程中,亚信安全威胁情报中心的研究专家偶然发现了一个团伙,该团伙不仅在QQ群内散播钓鱼链接,还通过伪造的下载网站推广含有恶意软件的EXE文件。面对这一明显的威胁传播行为,该专家迅速组织了威胁情报中心运营团队成员共同投入调查工作。经过一段细致的追踪与分析,威胁情报团队最终确定,这次网络攻击的背后黑手是众人皆知的银狐相关团伙,一个被大家熟知的老对手。

银狐组织样本下载

安全研究专家和运营人员发现这些恶意文件使用了巧妙的手法:盗用合法证书并伪造,以掩盖其真实面目。这些文件将攻击代码隐藏在加密的资源部分中,只在特定时机解密释放下一阶段的攻击。这种方法巧妙地规避了传统的攻击路径,利用正常文件加载配置文件执行恶意Lua脚本,通过常规应用的更新机制触发攻击。

进一步调查揭示了关键的恶意文件信息,详细描述了它们的操作方式和攻击手段。他们发现这些文件中藏有Windows、macOS和Android三平台的木马,点击下载后会跳转至仿冒的Telegram站点下载MSI安装包。这个安装包具有反调试功能,能检测虚拟机环境并阻止后续安装过程。

图片

投递的第一阶段会伪装成第三方应用安装包的母体程序,具备合法的签名,以规避杀软检测。

图片

msi释放的应用程序会加载执行同目录下的同名dat文件中的恶意lua脚本,最终载荷为gh0st变种,与以往手法一致。

银狐相关团伙在qq群中发起钓鱼攻击

与此同时,安全研究专家也发现了黑灰产利用税务稽查局抽查企业的话题,通过仿冒税务局专管员在QQ上投放钓鱼链接的行为。专家从钓鱼链接中嗅到了不同寻常的气味,发现钓鱼诱饵以“发票”、“单据”、“税收”等极具诱惑性的名字命名,诱导企业财务出纳人员点击并传播钓鱼链接,利用白加黑的方式进行多阶段投毒。

图片

在拓线过程中发现该团伙擅长盗用企业的数字签名并加上upx壳,利用白加黑的方式加载后续shellcode,利用此种方式进行免杀。

图片

攻击过程详细分析

本次钓鱼活动中,该团伙首先进行信息收集,瞄准目标群体,通过群聊及邮件的方式进行钓鱼,在后渗透阶段则会使用cobaltstrike批量上线。

作案团伙的QQ号为:23XXXXXX12,注册信息如下所示:

图片

并以税务、发票有关的图片设为图标,增强可信度,符合该团伙历史作案手法。

图片

钓鱼链接发生js重定向

图片

域名解析到IP:8[.]212[.]64[.]241

图片

相关url可下载shellcode、安装包、自解压文件、配置文件、可执行程序等。

图片

关联文件如下。

图片

作者名字设为shuiwuju,仿冒税务局进行攻击

图片

在拓线过程中发现该组织擅长盗用企业的数字签名并加上upx壳,利用白加黑的方式加载后续shellcode,利用此种方式进行免杀。

图片

查看下载的文件:

图片

shellcode中发现疑似cc的域名

图片

样本使用了大量阿里云的oss静态存储桶,部分记录如下:

图片

结合路径特征猜测该团伙可能会通过邮件伪造虚假网站钓鱼的方式进行恶意样本投递:

图片

拓线后发现*_64.bin是cobaltstrike的shellcode,关联过程如下:

图片

该团伙使用香港地区ip作为服务端存放样本,并使用HFS框架,与之前手法一致:

图片

该团伙以往经常使用HFS搭建文件存储服务,下载一个税务稽查、律师函之类比较敏感的文件,最后释放gh0st远控。

亚信安全应对之策及安全建议

银狐相关团伙采用向即时通讯软件的桌面客户定向发送钓鱼链接的策略,诱使用户激活并执行恶意代码。这个过程不仅广泛影响众多用户,而且针对性地在特定群组中进行传播,使得这种攻击既普遍又隐蔽。这种既广泛又有选择性的传播策略,对现有的网络安全防御构成了严峻挑战,因为它充分利用了用户对日常使用通讯工具的信任和依赖,从而使得恶意软件的传播更为隐蔽,给早期检测和应对带来了复杂性。

在此次攻击活动中使用的手法总结如下:即时通讯软件中投放钓鱼链接、定向发送钓鱼邮件、钓鱼诱饵以“税收”、“票务”等为主题、利用阿里云函数对C&C进行隐藏、使用香港ip作为服务器、搭建HFS平台储存样本、样本使用upx加壳、盗用企业签名、利用白加黑加载恶意dll、后渗透阶段使用cobaltstrike加载shellcode。

天穹ImmunityOne是亚信安全部署在公有云上的XDR SaaS平台,基于云原生(Cloud Native)架构实现多租户管理,将采集到的高保真数据集中存储形成安全数据湖,由威胁分析专家根据安全事件线索进行威胁狩猎,提炼威胁情报,共享至全网所有客户,实现高级威胁的“一地检测,全网免疫”。ImmunityOne现已能对此次事件进行检测:

图片

此外,需注意以下安全建议:

  • 建议全面部署亚信安全防病毒产品,并及时更新组件;

  • 由于银狐木马多采用内存加载、白加黑攻击的形式;对于已感染主机须在查杀后手动停止相关进程;

  • 银狐木马的攻击者可能会利用木马安装其他持久化组件,如xx终端安全管理系统,或其他远程软件;如确认非用户安装,请及时卸载和清理;

  • 对于无法检测的样本、恶意组件,请联系亚信安全服务团队协助处置。

面对银狐这样的高风险黑产工具,各行各业需要加强警惕,采取更有效的安全措施,以防范可能发生的网络安全事件,保护企业和公众的安全与利益。

威胁态势月报

除银狐外,亚信安全还对近期的勒索情况、恶意病毒、高危漏洞和APT攻击等威胁态势进行了分析总结,详见《亚信安全2024年3月威胁态势月报》。

图片

图片

图片

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/785111.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue2/Vue3 -------- 生命周期/钩子函数

(1)beforeCreate 钩子函数,在实例初始化之后,在数据监听和事件配置之前触发。因此在这个事件中我们是获取不到 data 数据的。 (2)created 钩子函数,在实例创建完成后触发,此时可以访…

个人偏好测验,职业倾向分析和HR人才测评量表

个人偏好测验,以人的15种需求为理论基础,用来鉴别我们在这15个维度的倾向,从而为分析人格特征、职业倾向提供依据。15种需求理论最早由美国心理学家murray在1938年提出。 个人偏好测验,也叫个人爱好测试,人的需求因子…

网络体系结构概述

目录 1. OSI/RM参考模型1.1. 物理层1.2. 数据链路层1.3. 网络层1.4. 传输层1.5. 会话层1.6. 表示层1.7. 应用层 2. TCP/IP参考模型3. 理解OSI七层模型 网络体系结构是线代网络技术的整体蓝图。 1. OSI/RM参考模型 开放互联参考模型(Open System Interconnection/…

备考ICA----Istio实验12---配置双向TLS Istio Ingress Gateway实验

备考ICA----Istio实验12—配置双向TLS Istio Ingress Gateway实验 本实验部分配置延续上个Istio实验11 1. 重新配置secret 重新配置secret使其带有ca证书可以验证客户端证书是否合法 先删除原有secret,再配置新的secret # 删除原tls类型的secret kubectl -n istio-system d…

数据仓库——事实表

数据仓库基础笔记思维导图已经整理完毕,完整连接为: 数据仓库基础知识笔记思维导图 事实表 事务事实表 事务事实表用于跟踪事件,通过存储事实和与之关联的维度细节,允许单独或聚集地研究行为。粒度稀疏性包含可加事实 无事实的…

【Django开发】0到1美多商城项目md教程第4篇:图形验证码,1. 图形验证码接口设计【附代码文档】

美多商城完整教程(附代码资料)主要内容讲述:欢迎来到美多商城!,项目准备。展示用户注册页面,创建用户模块子应用。用户注册业务实现,用户注册前端逻辑。图形验证码,图形验证码接口设…

Java基础知识总结(32)

反射 类加载器 当JVM启动时,会形成由3个类加载器组成的初始类加载器层次结构。 Bootstrap ClassLoader:根类加载器。它负责加载Java的核心类。 Extension ClassLoader:扩展类加载器。它负责加载 JRE 的扩展目录(%JAVA_HOME%/jr…

网安基础2-Sniffer的使用与防范

1. 嗅探器sniffer的工作原理 能捕获经过该网络设备的报文,通过分析网络流量,找出关键信息,解决网络问题。 不同于键盘捕获程序,如keylogger利用中断或钩子技术,Sniffer将网络接口置成适当的模式,如杂收。…

【小黑送书—第十八期】>>让工作自动化起来!无所不能的Python(文末送书)

随着我国企业数字化和信息化的深入,企业对办公自动化的效率和灵活性要求越来越高。Python作为一种开源的软件应用开发方式,通过提供强大丰富的库文件包,极大地简化了应用开发过程,降低了技术门槛。Python开发有哪些优势、挑战以及…

搭建vite+vue3项目时遇到的问题

搭建项目(vitevue3) 第一步:先安装开发工具 下载node.js https://nodejs.cn/download/ node自带npm 可通过npm -v /node -v查看npm和node是否安装成功以及版本号 以及查看vue/cli是否安装 第二步:创建项目(使用vite) 下载vite: npm install -g create-vite 创建项目:create-v…

产品经理的进阶之路

点击下载《产品经理的进阶之路》 1. 前言 本文深入剖析了产品经理这一职业从产品专员起步,逐步晋升为产品经理、高级产品经理,直至产品总监的整个职业发展路径。在每个阶段,产品经理都需承担不同的工作职责,展现出独特的职业特点。 2. 产品专员 关键词【产品需求/原型/文…

栈和队列相关

栈的顺序存储结构 #define maxsize 50 typedef int ElemType; typedef struct {ElemType data[maxsize];int top; }SqStack; 顺序栈的基本算法 初始化栈 void InitStack(SqStack *s){s.top-1;return; } 判断栈空 bool IsEmptyStack(SqStack *s){if(s.top-1){return true;…

广度优先搜索(BFS)算法详解

文章目录 广度优先搜索(BFS)算法详解与C实现BFS的工作原理BFS的实现C中BFS的实现 BFS的应用场景注意事项 广度优先搜索(BFS)算法详解与C实现 广度优先搜索(Breadth-First Search,BFS)是一种遍历…

《QDebug 2024年3月》

一、Qt Widgets 问题交流 1. 二、Qt Quick 问题交流 1.Qt5 ApplicationWindow 不能使用父组件 Window 的 transientParent 属性 ApplicationWindow 使用 transientParent 报错: "ApplicationWindow.transientParent" is not available due to compone…

集合框架——Map

双列集合 特点: 双列集合一次需要存一对数据,分别为键和值键不能重复,值可以重复键和值是一一对应的,每个键只能找到自己对应的值键值这个整体 称为:键值对 键值对对象 Entry对象 Map集合的常用方法 public class …

ssm框架配置文件例子

emmm。。。。 就是说&#xff0c;正常ssm的配置文件长啥样&#xff1f; 就最基础的&#xff1f; 贴一下&#xff0c;备忘吧。 第一个&#xff1a;applicationContext.xml <beans xmlns"http://www.springframework.org/schema/beans"xmlns:context"http…

软考 - 系统架构设计师 - 敏捷开发方法

前言 敏捷开发方法是一种以人为核心、迭代、循序渐进的软件开发方法。它强调团队合作、客户需求和适应变化&#xff0c;旨在通过快速迭代和反馈来快速交付高质量的软件产品。 敏捷开发方法的优势在于能够快速响应变化、提高开发效率和质量、增强团队协作和沟通&#xff0c;并降…

Python程序设计 多重循环

教学案例六 多重循环 1.n之内的素数 输入n&#xff0c;显示n之内的所有素数 每行显示10个素数 例如&#xff0c;若输入500&#xff0c;结果如图所示 neval(input()) #代码开始 c 0for i in range(2, n1):for j in range(2, i):if i % j 0:breakelse:c 1print("{:5d}…

四年旅程,一路成长——小雨的创作纪念日

四年旅程&#xff0c;一路成长——小雨的创作纪念日 收到来信&#xff0c;回顾与再开始回首起点&#xff0c;初探技术世界持续前行&#xff0c;从坚持到自信今日之感&#xff0c;持续分享与感恩【3.19故事对话】我一定可以&#xff01;“新”认知状态变化感受复盘 朝着未来&…

Kubernetes(K8s)技术解析

1. K8s简介 Kubernetes&#xff08;简称K8s&#xff09;是一个开源的容器编排平台&#xff0c;旨在简化容器化应用程序的部署、扩展和管理。为开发者和运维人员提供了丰富的功能和灵活的解决方案&#xff0c;帮助他们更轻松地构建、部署和管理云原生应用程序。以下是关于Kubern…