1.背景
最近一段时间,腾讯安全科恩实验室(以下简称“腾讯科恩”)对"银狐"钓鱼团伙保持着紧密的跟踪和分析。近日,腾讯科恩新发现了利用 "核酸检测退费" 和 "发票信息" 作为主题的钓鱼样本有增多的趋势。这两种类型的样本分别通过聊天软件和邮件进行传播。以"电子发票下载"为标题的钓鱼邮件正文包含"查看发票"等关键词,以实现诱导接受者点击钓鱼木马链接。同时,腾讯科恩发现,在恶意代码执行过程中,会通过使用大量字符拼接数据的方式对抗杀软静态特征检测。基于最新线索,腾讯科恩对相关样本进行了简要分析如下,文后会提供一些相关IOC,以供政企用户进行回扫和检测,避免受到相关威胁的影响。
钓鱼邮件案例:
若用户点击邮件中附带URL会跳转至某云厂商上的木马下载地址:
2.钓鱼文件
在钓鱼诱饵文件命名方式上,除了以往常用的"**社保","**名单","**抽查"外,在5.22日出现某些医疗单位开始对符合条件的市民进行退换核酸检测费用的相关新闻后,随即捕获到了名为"2024年每个地区医院通知退核酸捡测费用流程.rar"的钓鱼攻击文件。
md5
钓鱼文件名(含解压文件)
发现攻击时间
9158492df75d0446dc05114efbeac1a6
抽查程序k.exe
2024/5/20 22:34
58805d04d1e6bc7055bdeff2c6ff28b7
2024年缴纳社保调整如下.zip
2024/5/20 22:37
0e5bee2fdee04b4eddb50056cec0c9f9
登录操作查询系统.exe
2024/5/21 12:56
7d72adb41674d089cd42d42c9c3dd516
登录操作查询系统.exe
2024/5/21 14:27
ff245fcf89c97e0ef4bad14c22b1a6e6
4月份公司违章违规处罚名单.rar
2024/5/21 15:12
f81573e824278d6ed1f84906f8c13d37
4月份公司违章违规处罚名单.rar
2024/5/21 15:16
7715cc70384f8cc4cce08eae3d6dd1a4
水 务 抽 查.rar
2024/5/21 16:07
db05b0e1b723055a96c1fc04ef8f1b88
2024***局关于企业和个人所得税政策N.exe
2024/5/21 18:40
630d3e486bf119b72ae845f9697b7828
2024年缴纳社保调整如下.rar
2024/5/21 19:37
bdbff0f6d79f3f3d4ccb9ced5f64da06
5月份公司违 规处 罚名 单.rar
2024/5/22 13:46
09a7b98e932af91dd3ed5cb6bc69ba7b
2024年每个地区医院通知退核酸捡测费用流程.rar
2024/5/22 13:48
84d9270e3368d84a3df1a15795cc2207
企 业 抽 查 对 象.rar
2024/5/22 14:01
3b063753c0710cf7713d15e810533eaa
ToL终端 - 副本.exe
2024/5/22 17:12
f927240653bacd66f89bc7e843466037
ToL终端.exe
2024/5/22 17:16
c2bb71628c847a8652bc8ed99ef52f3e
票292583150065管理m.exe
2024/5/23 0:54
01b7c35a2ae0596d3e00df4a6692d497
2024年缴纳社保调整如下.zip
2024/5/23 10:28
67f2b08bc8f46b316a9ddf2d580abfb3
2024税务稽查违规涉税企业名单(电脑版).zip
2024/5/23 10:42
635f06c287153ef89c8ba7bbe9a159a5
2024年度税务稽查企业名单公示.zip
2024/5/23 12:46
a56829022d2f241bac63fd41b81cc215
医院通知退核酸检测费用《电脑版》.zip
2024/5/23 13:06
3.技术分析
在攻击技术方面,恶意样本母体作为下载器从多个不同的URL下载rar或png格式Payload文件,解密后加载到内存,利用EnumDateFormatsA函数执行回调的方式执行shellcode,最终运行远程控制木马。同时,木马还通过动态获取系统API函数、使用大量字符拼接数据的方式对抗静态特征检测。
样本中嵌入了大量字符:
将字符拼接组合得到加密数据:
逐字节读取数据,解密出恶意代码并加载到内存:
动态加载Windows系统模块并调用所需函数:
下载payload文件xingpai.weilay.com[.]cn/llq.rar,利用EnumDateFormatsA函数执行回调的方式执行shellcode:
相关IOC
MD5:
9158492df75d0446dc05114efbeac1a6
58805d04d1e6bc7055bdeff2c6ff28b7
0e5bee2fdee04b4eddb50056cec0c9f9
7d72adb41674d089cd42d42c9c3dd516
ff245fcf89c97e0ef4bad14c22b1a6e6
f81573e824278d6ed1f84906f8c13d37
7715cc70384f8cc4cce08eae3d6dd1a4
db05b0e1b723055a96c1fc04ef8f1b88
630d3e486bf119b72ae845f9697b7828
bdbff0f6d79f3f3d4ccb9ced5f64da06
09a7b98e932af91dd3ed5cb6bc69ba7b
84d9270e3368d84a3df1a15795cc2207
3b063753c0710cf7713d15e810533eaa
F927240653BACD66F89BC7E843466037
c2bb71628c847a8652bc8ed99ef52f3e
01b7c35a2ae0596d3e00df4a6692d497
67f2b08bc8f46b316a9ddf2d580abfb3
635f06c287153ef89c8ba7bbe9a159a5
a56829022d2f241bac63fd41b81cc215
URL:****
https[:]//wwwhjhjjsjgj15-1326536099.cos.ap-guangzhou.myqcloud[.]com/GHJGJ150/setupPDF3.exe
https[:]//iciigkudpg-1323099064.cos.ap-beijing.myqcloud[.]com/u9jIP5TGA9U6S.html
https[:]//kmfisqbrdi-1323099064.cos.ap-beijing.myqcloud[.]com/cNm03.html
https[:]//canxnquxul-1323099064.cos.ap-beijing.myqcloud[.]com/dan.htm
http[:]xingpai.weilay.com[.]cn/llq.rar
http[:]//xingpai.weilay.com[.]cn/trx37.zip
entirehub[.]xyz/update/2.png
greenka[.]homes/update/2.png
studenthome[.]top/head/2.png
hellohouse[.]life/update/2.png
Domain:
xingpai.weilay.com[.]cn
entirehub[.]xyz
greenka[.]homes
studenthome[.]top
hellohouse[.]life
IP:
143.92.42[.]212
产品体验
![www.dgsksc\[.\]com/head/2.png](http://www.dgsksc%5C%5B.%5C%5Dcom/head/2.png){kind=link}