情报速递20240516｜“银狐”钓鱼团伙利用某安全软件管控功能进行攻击

1.背景

腾讯安全科恩实验室（以下简称“腾讯科恩”）在对”银狐“钓鱼团伙进行跟踪时，发现该团伙近期开始将终端安全软件IP-**ard的计算机监控功能当作远控工具使用。IP-**ard是由广州市**科技股份有限公司开发的一款终端安全管理软件，可以帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。

经分析发现，该软件具有监控和管理企业内部系统的功能，但由于没有严格校验使用者身份，被攻击者加以利用从而对用户计算机进行远程控制。

由于此次攻击使用的程序属于公开发行的商业软件，相关程序文件具有合法的数字签名，并且已有一定的用户规模，杀毒软件已将相关程序模块置于信任名单中。攻击者可以用该软件进行灵活地打包后进行投放，使得钓鱼文件母体不具备固定特征，可能造成更多用户中招。科恩安全团队提醒广大用户不要轻易打开来历不明的程序，特别是文件后缀名为".exe"和".msi"的文件，谨防钓鱼攻击。也建议安全监控和管理软件厂商加强用户身份校验，以防相关功能模块被不法分子恶意利用。

2.捕获样本

科恩近日捕获到的相关样本如下，可以看出，钓鱼文件命名仍然以"XXX税务"、"XXX名单"、"XXX稽查"、"XXX补贴"、"XX社保"、"XX视频"等为主题。

md5

文件名

发现攻击时间

f973d027c38f073661b55446040b922d

setup_查看.exe

2024/5/9 13:19:12

47a1777e2d026af6c11c30a4c36fc07b

第二季5月份XXX局对当地企业随机抽查名单公示，查询密码：12366《请使用电脑版下载查看详情》.exe  

2024/5/9 13:32:32

85d05927f7d79cfa5daa8d2f873a441f

第二季度2024最新涉税违规企业名单公示（电脑版）.exe

2024/5/9 15:30:37

589b650477e61d5d7dfeadc0e0f64f5c

第二季度5月份XXX局对当地企业随机抽查名单公示，《请使用电脑版下载查看详情》.exe

2024/5/9 15:57:38

e486bb6c30697eac7aa7a3759c04a161

setup补贴名单.exe

2024/5/10 11:40:22

7983a792c957a604f51b319b934aeae7

抽查名单.exe

2024/5/11 3:14:47

8203e390e715ab9e30515b31f8414e20

名单系统.exe

2024/5/11 10:10:38

d0bad9ed97440fdf2e3239d31fc060b1

抽查名单.zip

2024/5/11 10:20:17

2ed30e716bd5f25778d3c5c1696225de

抽查名单.exe

2024/5/11 13:19:27

e5684f040027cedd128019214c3f501c

现场视频MP4.exe

2024/5/13 2:36:01

f79cc8bf06b6e516c9ad249c036dbfe8

最新涉税企业名单列表.exe

2024/5/13 8:03:04

839eb56530a06069211aca57ecd15141

名单目录.exe

2024/5/13 9:51:55

1bfaf60d0f7514403d19e3fe72577865

2024年财会人员薪资补贴调整新政策所需资料.exe

2024/5/13 9:53:33

2d821047ed755a65a44eba5f327527d3

查阅.exe

2024/5/13 10:14:47

ca08839fe709382f72a6a2b9a7a424c4

查阅.exe

2024/5/13 10:52:49

39768de5517bb5325d608fb1365b7ee6

稽查处罚企业名单.exe

2024/5/13 11:25:01

476d555e464b7e25a7d2ab984396fb93

稽查处罚企业名单.exe

2024/5/13 13:33:41

35984809e8dbcc1e4e5daa0f70b3cc3e

稽查处罚企业名单.exe

2024/5/13 14:57:28

111ce5181d8a4f8ab5316e61a733b4ea

名单目录.exe

2024/5/13 15:26:02

5bc5825a1019c1928c47fefa3f1d35e3

2024年缴纳社保调整如下.exe

2024/5/13 16:12:20

081e34ed3aad3a047946e483b4a0c632

企业社保调整（密码123）.exe

2024/5/13 16:24:15

fbed6fec8f5732ffc3b74082c4b7a00d

查阅.exe

2024/5/14 8:41:20

ced1e556401047e6e9211f3ad488a362

稽查处罚企业名单.exe

2024/5/14 8:52:40

4f6f0b6e90f6b9d5efd48076de032494

公司社保调整如下.exe

2024/5/14 9:30:33

c7dd17c759810facc50ae7ab18d47a81

最新税企漏税稽查处罚通名单.exe

2024/5/14 9:40:51

7db6d17d649ed4de73fbb98f3e771941

2024年财会人员薪资补贴调整新政策所需资料.exe

2024/5/14 9:41:48

f918cb7f82db998fe82d69769f0ec204

查阅.exe

2024/5/14 10:09:08

9c72b89fd27600869355594c0b5fe360

setup详情.exe

2024/5/14 10:14:28

36aa071bf4bbeef113cd8e1532780b62

公示目录.exe

2024/5/14 10:20:57

5c7eba7a22ea70f96576a45e110c9ed9

2024年财会人员薪资补贴调整新政策所需资料.exe

2024/5/14 10:37:06

2601a59308127380906df393269277d8

原视频.exe

2024/5/14 10:59:24

7cdba18f6514e101cd2c338f667272e3

setup查看.exe

2024/5/14 11:09:52

de80a3b4f9764d2ab6e7d85a9629afe5

原视频.exe

2024/5/14 11:48:53

edaa7b84f4b95157952b5ea452d4cc59

漏税稽查处罚企业名单.exe

2024/5/14 13:38:34

05922d64a270bb09e421e045522819ac

2024新发布-财会人员薪资补贴调整新政策所需材料.exe

2024/5/14 15:57:35

02ede106f5ba9326a20b0dee33abff14

企业社保调整（密码123）.exe

2024/5/15 9:55:33

f04be8430b5b562e365f48b1161d22b1

目录.exe

2024/5/15 12:07:15

eb66375288c930b2c9b7abb767172dd6

关于个人养老金有关个人所得税政策的公告.rar

2024/5/15 12:31:04

3.技术分析

攻击者将软件和相关依赖文件通过NSIS打包成安装包：

在安装过程中，通过安装脚本命令查找杀软进程并提示用户操作退出相关杀毒软件：

将用于远程控制的依赖文件释放到以下目录：

C:\Program Files (x86)\Common Files\System

C:\Windows\SysWow64\

C:\Windows\System32\

C:\Windows\

将远控程序添加到防火墙规则允许通过，然后通过ExecShell命令启动软件的OCular Agent远程控制模块winrdlv3.exe

(md5:0cbeb75d3090054817ea4df0773afe35)

winrdlv3.exe文件数字签名

winrdlv3.exe通过命令行加载winoav3.dll、winwdgv3.dll等DLL

加载驱动程序TPacket7.sys

winrdlv3.exe连接C2地址154.91.65[.]233:8237

相关IOC

MD5:

47a1777e2d026af6c11c30a4c36fc07b

85d05927f7d79cfa5daa8d2f873a441f

589b650477e61d5d7dfeadc0e0f64f5c

e486bb6c30697eac7aa7a3759c04a161

7983a792c957a604f51b319b934aeae7

d0bad9ed97440fdf2e3239d31fc060b1

2ed30e716bd5f25778d3c5c1696225de

8203e390e715ab9e30515b31f8414e20

f79cc8bf06b6e516c9ad249c036dbfe8

839eb56530a06069211aca57ecd15141

1bfaf60d0f7514403d19e3fe72577865

2d821047ed755a65a44eba5f327527d3

ca08839fe709382f72a6a2b9a7a424c4

39768de5517bb5325d608fb1365b7ee6

476d555e464b7e25a7d2ab984396fb93

35984809e8dbcc1e4e5daa0f70b3cc3e

111ce5181d8a4f8ab5316e61a733b4ea

5bc5825a1019c1928c47fefa3f1d35e3

081e34ed3aad3a047946e483b4a0c632

ced1e556401047e6e9211f3ad488a362

c7dd17c759810facc50ae7ab18d47a81

7db6d17d649ed4de73fbb98f3e771941

5c7eba7a22ea70f96576a45e110c9ed9

edaa7b84f4b95157952b5ea452d4cc59

05922d64a270bb09e421e045522819ac

f918cb7f82db998fe82d69769f0ec204

IP：

54.91.65[.]233

产品体验