概述

近日，微步情報局監測發現銀狐組織開始使用新的釣魚方式攻擊：攻擊者向用戶發送“拖欠合同款違約，請下載發票并轉發財務確認”相關內容的郵件，并在郵件中內嵌釣魚鏈接。用戶訪問該鏈接后，會跳轉到仿冒的發票下載網站，該仿冒網站制作精良，與常見的發票下載站點十分相似，具有很強的誘惑性。當用戶下載并運行發票文件后，主機將執行后門木馬，繼而淪為被控制的“肉雞”。通過深入分析，我們研判認為該攻擊活動與友商發布的“游蛇”團伙在資產和木馬樣上存在較強的關聯性，可以認為是銀狐組織的新動向，詳情如下：

【資料圖】

銀狐組織自2022年9月份一直活躍至今，主要利用“白+黑”方式進行惡意載荷投遞，載荷以公開的Gh0st家族和AsyncRAT家族等遠程木馬為主，同時在資產上大量使用香港IP地址進行回連。

此次事件是我們首次發現銀狐組織使用釣魚郵件、釣魚鏈接以及仿冒網站，并誘騙用戶下載惡意文件的方式進行攻擊。

游蛇與銀狐組織使用的資產存在明確的重合性，同時在木馬樣本維度也呈現出較強的同源特征，我們研判認為可以歸因為同一黑產組織。

微步通過對相關樣本、IP 和域名的溯源分析，提取多條相關 IOC ，可用于威脅情報檢測。微步威脅感知平臺 TDP 、本地威脅情報管理平臺 TIP 、威脅情報云 API 、云沙箱 S、沙箱分析平臺 OneSandbox、互聯網安全接入服務 OneDNS 、安全情報網關 OneSIG 、主機威脅檢測與響應平臺 OneEDR 、終端安全管理平臺 OneSEC 等均已支持對此次攻擊事件和團伙的檢測。

2團伙分析

2.1團伙畫像

2.2攻擊特點

銀狐通過釣魚網頁誘惑用戶進行惡意文件的下載，網頁一般模仿為存放票據的網盤，如下圖所示，相關軟件的更新頻率也十分頻繁。

3樣本分析

3.1基本信息

銀狐使用釣魚郵件樣本進行釣魚，相關的釣魚郵件如下所示，跳轉到票據分享的釣魚網頁，誘導下載相關惡意文件后安裝執行。

此外銀狐還偽裝成國內某能源公司發送偽造的電子發票郵件，誘導受害者下載相關的惡意文件并執行。

3.2詳細分析-樣本1

1.樣本訪問騰訊的ntp服務ntp5.tencent.com。獲取第一次時間，隨后sleep固定時間。再次訪問ntp服務。計算兩次時間的差值，判斷是否符合預設值。

2.樣本會判斷以下注冊表是否存在。

3.樣本根據注冊表查找系統使用的程序，會尋找是否存在3.5jc這個進程。如果沒有就不會執行之后動作。

4.持久化，創建計劃任務。

計劃任務關聯的樣本路徑如下：

5.解密加密代碼。

6.創建線程執行。

7.最終在內存通過clr加載AsyncRAT后門。該樣本連接地址43.154.83.246:65530

3.3詳細分析-樣本2

1.樣本嘗試訪問360進程，并嘗試對其設置訪問令牌。

2.樣本將自己復制到Program Files\\MSXML 3.22文件夾內，該種方式已在銀狐歷史使用的惡意載荷中出現非常頻繁。

3.樣本手動將ntdll在內存中重載。

4.樣本下載后續的payload。

5.下載的數據是dll文件，手動加載調用其導出函數。

6.樣本會將此dll設置為服務。

7.服務會創建一個線程。

8.創建互斥體。

9.樣本對C2進行通信。

10.樣本發送上線包。

11.接收C2命令。

4關聯分析

4.1拓線信息

通過相關資產的拓線，可以發現該組織的資產大致分為兩類，分別為網盤釣魚類以及遠控組件類，如下表所示：

4.2溯源信息

友商不久前曾報道“游蛇”組織使用社工通信軟件、偽造的電子票據下載站和虛假應用程序下載站等投遞惡意軟件的攻擊事件。結合此次事件中捕獲的相關資產和樣本進行深入分析，我們研判認為屬于銀狐組織調整投遞載荷的新攻擊動向，詳情如下：

1.游蛇組織與銀狐組織的資產存在重合性：我們發現游蛇組織的1個遠控類IP資產在2023年4月20日存在銀狐相關情報。

2.攻擊者掌握的域名資產xin3.xinkehu888.top當前正綁定在該ip上，同時我們發現該域名的字形與早期銀狐的域名資產vip.qiangsheng888.top十分相似，很可能為同一攻擊者注冊使用。

3.相關樣本詳情如下，可以發現在文件名，C&C相似度以及樣本釋放行為均十分相似，并經過內部深度分析，相關樣本的執行方式均與銀狐一致。

綜上，結合資產側的特點和重合性以及樣本側的同源特征，判定兩伙組織屬于同一組織。

5行動建議

5.1 威脅處置

由于監控到多種方式進入及樣本釋放方式，聯系相關技術人員進行針對性檢測及排查處置。

5.2 安全加固

根據相關組織的樣本名稱進行針對性防范，下載的工具由官網下載，并校驗其hash，相關微信傳輸文件不貿然點擊，首先進行沙箱檢測，避免進一步擴散。

參考鏈接

https://www.secrss.com/articles/54776

https://mp.weixin.qq.com/s/S314m8jszgLXiKpfMKW-cA

關鍵詞：