1.背景
腾讯安全科恩实验室(以下简称“腾讯科恩”)在对”银狐“钓鱼团伙进行跟踪时,发现该团伙近期开始将终端安全软件IP-**ard的计算机监控功能当作远控工具使用。IP-**ard是由广州市**科技股份有限公司开发的一款终端安全管理软件,可以帮助企业保护终端设备安全、数据安全、管理网络使用和简化IT系统管理。
经分析发现,该软件具有监控和管理企业内部系统的功能,但由于没有严格校验使用者身份,被攻击者加以利用从而对用户计算机进行远程控制。
由于此次攻击使用的程序属于公开发行的商业软件,相关程序文件具有合法的数字签名,并且已有一定的用户规模,杀毒软件已将相关程序模块置于信任名单中。攻击者可以用该软件进行灵活地打包后进行投放,使得钓鱼文件母体不具备固定特征,可能造成更多用户中招。科恩安全团队提醒广大用户不要轻易打开来历不明的程序,特别是文件后缀名为".exe"和".msi"的文件,谨防钓鱼攻击。也建议安全监控和管理软件厂商加强用户身份校验,以防相关功能模块被不法分子恶意利用。
2.捕获样本
科恩近日捕获到的相关样本如下,可以看出,钓鱼文件命名仍然以"XXX税务"、"XXX名单"、"XXX稽查"、"XXX补贴"、"XX社保"、"XX视频"等为主题。
md5
文件名
发现攻击时间
f973d027c38f073661b55446040b922d
setup_查看.exe
2024/5/9 13:19:12
47a1777e2d026af6c11c30a4c36fc07b
第二季5月份XXX局对当地企业随机抽查名单公示,查询密码:12366《请使用电脑版下载查看详情》.exe
2024/5/9 13:32:32
85d05927f7d79cfa5daa8d2f873a441f
第二季度2024最新涉税违规企业名单公示(电脑版).exe
2024/5/9 15:30:37
589b650477e61d5d7dfeadc0e0f64f5c
第二季度5月份XXX局对当地企业随机抽查名单公示,《请使用电脑版下载查看详情》.exe
2024/5/9 15:57:38
e486bb6c30697eac7aa7a3759c04a161
setup补贴名单.exe
2024/5/10 11:40:22
7983a792c957a604f51b319b934aeae7
抽查名单.exe
2024/5/11 3:14:47
8203e390e715ab9e30515b31f8414e20
名单系统.exe
2024/5/11 10:10:38
d0bad9ed97440fdf2e3239d31fc060b1
抽查名单.zip
2024/5/11 10:20:17
2ed30e716bd5f25778d3c5c1696225de
抽查名单.exe
2024/5/11 13:19:27
e5684f040027cedd128019214c3f501c
现场视频MP4.exe
2024/5/13 2:36:01
f79cc8bf06b6e516c9ad249c036dbfe8
最新涉税企业名单列表.exe
2024/5/13 8:03:04
839eb56530a06069211aca57ecd15141
名单目录.exe
2024/5/13 9:51:55
1bfaf60d0f7514403d19e3fe72577865
2024年财会人员薪资补贴调整新政策所需资料.exe
2024/5/13 9:53:33
2d821047ed755a65a44eba5f327527d3
查阅.exe
2024/5/13 10:14:47
ca08839fe709382f72a6a2b9a7a424c4
查阅.exe
2024/5/13 10:52:49
39768de5517bb5325d608fb1365b7ee6
稽查处罚企业名单.exe
2024/5/13 11:25:01
476d555e464b7e25a7d2ab984396fb93
稽查处罚企业名单.exe
2024/5/13 13:33:41
35984809e8dbcc1e4e5daa0f70b3cc3e
稽查处罚企业名单.exe
2024/5/13 14:57:28
111ce5181d8a4f8ab5316e61a733b4ea
名单目录.exe
2024/5/13 15:26:02
5bc5825a1019c1928c47fefa3f1d35e3
2024年缴纳社保调整如下.exe
2024/5/13 16:12:20
081e34ed3aad3a047946e483b4a0c632
企业社保调整(密码123).exe
2024/5/13 16:24:15
fbed6fec8f5732ffc3b74082c4b7a00d
查阅.exe
2024/5/14 8:41:20
ced1e556401047e6e9211f3ad488a362
稽查处罚企业名单.exe
2024/5/14 8:52:40
4f6f0b6e90f6b9d5efd48076de032494
公司社保调整如下.exe
2024/5/14 9:30:33
c7dd17c759810facc50ae7ab18d47a81
最新税企漏税稽查处罚通名单.exe
2024/5/14 9:40:51
7db6d17d649ed4de73fbb98f3e771941
2024年财会人员薪资补贴调整新政策所需资料.exe
2024/5/14 9:41:48
f918cb7f82db998fe82d69769f0ec204
查阅.exe
2024/5/14 10:09:08
9c72b89fd27600869355594c0b5fe360
setup详情.exe
2024/5/14 10:14:28
36aa071bf4bbeef113cd8e1532780b62
公示目录.exe
2024/5/14 10:20:57
5c7eba7a22ea70f96576a45e110c9ed9
2024年财会人员薪资补贴调整新政策所需资料.exe
2024/5/14 10:37:06
2601a59308127380906df393269277d8
原视频.exe
2024/5/14 10:59:24
7cdba18f6514e101cd2c338f667272e3
setup查看.exe
2024/5/14 11:09:52
de80a3b4f9764d2ab6e7d85a9629afe5
原视频.exe
2024/5/14 11:48:53
edaa7b84f4b95157952b5ea452d4cc59
漏税稽查处罚企业名单.exe
2024/5/14 13:38:34
05922d64a270bb09e421e045522819ac
2024新发布-财会人员薪资补贴调整新政策所需材料.exe
2024/5/14 15:57:35
02ede106f5ba9326a20b0dee33abff14
企业社保调整(密码123).exe
2024/5/15 9:55:33
f04be8430b5b562e365f48b1161d22b1
目录.exe
2024/5/15 12:07:15
eb66375288c930b2c9b7abb767172dd6
关于个人养老金有关个人所得税政策的公告.rar
2024/5/15 12:31:04
3.技术分析
攻击者将软件和相关依赖文件通过NSIS打包成安装包:
在安装过程中,通过安装脚本命令查找杀软进程并提示用户操作退出相关杀毒软件:
将用于远程控制的依赖文件释放到以下目录:
C:\Program Files (x86)\Common Files\System
C:\Windows\SysWow64\
C:\Windows\System32\
C:\Windows\
将远控程序添加到防火墙规则允许通过,然后通过ExecShell命令启动软件的OCular Agent远程控制模块winrdlv3.exe
(md5:0cbeb75d3090054817ea4df0773afe35)
winrdlv3.exe文件数字签名
winrdlv3.exe通过命令行加载winoav3.dll、winwdgv3.dll等DLL
加载驱动程序TPacket7.sys
winrdlv3.exe连接C2地址154.91.65[.]233:8237
相关IOC
MD5:
47a1777e2d026af6c11c30a4c36fc07b
85d05927f7d79cfa5daa8d2f873a441f
589b650477e61d5d7dfeadc0e0f64f5c
e486bb6c30697eac7aa7a3759c04a161
7983a792c957a604f51b319b934aeae7
d0bad9ed97440fdf2e3239d31fc060b1
2ed30e716bd5f25778d3c5c1696225de
8203e390e715ab9e30515b31f8414e20
f79cc8bf06b6e516c9ad249c036dbfe8
839eb56530a06069211aca57ecd15141
1bfaf60d0f7514403d19e3fe72577865
2d821047ed755a65a44eba5f327527d3
ca08839fe709382f72a6a2b9a7a424c4
39768de5517bb5325d608fb1365b7ee6
476d555e464b7e25a7d2ab984396fb93
35984809e8dbcc1e4e5daa0f70b3cc3e
111ce5181d8a4f8ab5316e61a733b4ea
5bc5825a1019c1928c47fefa3f1d35e3
081e34ed3aad3a047946e483b4a0c632
ced1e556401047e6e9211f3ad488a362
c7dd17c759810facc50ae7ab18d47a81
7db6d17d649ed4de73fbb98f3e771941
5c7eba7a22ea70f96576a45e110c9ed9
edaa7b84f4b95157952b5ea452d4cc59
05922d64a270bb09e421e045522819ac
f918cb7f82db998fe82d69769f0ec204
IP:
54.91.65[.]233
产品体验