情报速递20240422｜FaCai钓鱼团伙正针对企事业单位发起攻击

● 背景 ●

    近期，腾讯安全科恩实验室在对钓鱼木马类攻击事件进行跟进时发现，某钓鱼团伙开始大量投递一类钓鱼样本，这类诱饵文件命名主题往往包含“避税方案”，“违规处罚”，“清明节调休”，“罚款名单”，“征信黑名单”等关键词。目前已有企事业单位出现中招的情况。经分析该团伙使用的攻击样本存在以下几点明显特征：

    1.将启动程序拷贝到系统目录，设置文件隐藏属性；

    2.创建计划任务在开机的时候进行启动隐藏的文件；

    3.通过加密通信的方式下载数据，并将附带魔改Gh0st远控木马的数据写入注册表中，在运行时动态加载到内存。

    基于这些特点，一旦此类木马植入成功，后续攻击团伙的破坏过程将具有极高的隐蔽性。

    在分析过程中科恩实验室分析人员发现，该类木马在与C2地址进行通信时，往往使用6666或8888端口，并且加密后的数据也存在很多"6666"字符串，特别是在对数据进行定位时使用了字符串"FaCai2024"，因此将该团伙命名为**“FaCai”**。

    腾讯安全科恩实验室提醒企事业单位及个人用户，不要因为好奇而随意点开通信软件、群聊中包含此类主题关键词的文件，特别要留意后缀名称为”.exe“的执行文件。因为这很可能是黑客投递的钓鱼木马程序，如果点击允许执行，可能会造成高危害的损失。

钓鱼诱饵文件名示例

关于2024最新合理避税方案 函数处罚标准！.exe  

财会人员薪资补贴调整新政策所需材料函数.exe

2024年3月份违规处罚名单.rar

公司通知财会人员清明节调休时间如下.exe

详细名单.exe

打开密码123.exe

3月份涉税财会人员征信拉黑名单如下.exe 

四月企业罚款名单.exe

3月处罚名单.exe

2024年清明节公司财税违规名单.rar

名单详情.exe

详情0000.exe

违规名单.exe

违规开票处分企业名单xlsx.exe  

2024年3月份违规开票企业处罚名单.rar

详情，，，.exe

最新财会人员征信黑名单.exe

四月最新财会人员征信黑名单.exe

2024财会人员处罚新政策所需材料.rar

3 月份 违 规处 罚名 单.rar

电子发票.exe

技术分析

样本执行后，首先会获取当前系统中运行的进程数量，判断是否超过40，进程数量少于40则会直接退出。

通过wcsrev函数反转宽字符字符串，再通过定位标记获取字符串里的IP和端口号。

获取到的C2地址IP和端口号：

ip1=134.92.43.149 port1=6666

ip2=134.92.34.149 port2=8888

ip3=134.92.34.149 port3=82

通过this指针访问虚函数，执行核心功能代码。

连接地址143.92.43.149:6666，并接下载加密过的数据。

申请内存放置下载到的数据，判断注册表项\HKEY_CURRENT_USER\Console\0是否存在，若不存在则创建该注册表项并写入二进制数据。

如果已经存在注册表项，则从该注册表项中读取数据到内存，通过字符串“FaCai2024”定位数据写入“IpDates_info”注册表，然后跳转到shellcode执行。

shellcode负责加载执行内存数据中附带的PE文件。

经分析内存中运行的PE文件是经过修改的Gh0st远控木马，会将当前母体进程文件拷贝到C:\ProgramData\StartMenuExperienceHos.exe，然后删除自身，再将拷贝后的文件设置为隐藏和系统文件属性，然后安装名为"系统垃圾清理"的计划任务进行持久化，当任何用户登陆时启动该木马程序，以达到长期控制该机器的目的。

StartMenuExperienceHos.exe在常规模式下不可见(打开系统显示隐藏文件也不行)，需要使用专业工具才能看到。

木马提升当前进程权限，包括远程关机、加载设备驱动程序、创建计算机账户等在内的37个特殊权限。

等待接收远程命令执行上传下载文件，权限提升，键盘记录，屏幕监控，执行任意程序等功能。

在向C2发送数据前和收到数据后，都通过自定义的以异或运算为基础的方法进行加解密。

通过流量抓包分析，可以看到该木马通信数据包中有很多“6666.6”字符串特征。

相关IOC

MD5

12532d6f8434b4f1e6b1ec7b98ef8e91

887a04cda34f7af3f350fd5f4d7a10c2

21a41eea0c4a12ac80a0a41dd06b86c6

c17aa0a7bc88d9f753fdd5cb13be697a

ed7d98ec86252ba3f73d92f7d08513ea

e90bafa40809c64f1535bf1684b14ee4

9c6b3ebb6719f90e638aa097825e5bd3

2f202856508ad743315739b0b8164e45

edc41e28dc9c16705b6658f8536c8101

bb5c8121a1748a170d4cc5e16f40093e

93a8cc0f7a074b83e34f6e89c538005c

4479178d28e07bd1eef068ef15a83d47

5361f396d10252751b39c06af8168c34

277034be6ced435eee05828efc667a7c

f0cdb673d986220b1acb66b965430be7

254943ea6620a11127ee127ba8d3d447

a1ed0088746b3c32069f9c03b29941c3

122113733ebd64e52e574cbfe2488f04

4dbf6b59106684ac56d63448d7af432c

530781bfc00af3cb514224c395fb8cc9

e1c98c669b0f4f9d36363159b44c10bb

9b630d01963e15bf5b95b9cef6d99195

73dd67e9a28ad65aee8cc7124e72c29d

db75168085d86684dda95e27fa4edf8d

0bff46b362062157ec4c30f8dd0844f5

29a25c10c424c783092286fa2aab9f42

c03f269ee0be50799a55ef60715090b4

13b74c9f5bebb00fac30f564f7471192

48916e81c1e9aa7ab49781db0eece78b

e39be7543a5c207dd644bbda61d56a5c

d37921e7d9e37f278046835fdb35ac96

910791ee946623a2e48c23db6694a583

dd389d68658326c52658649d798c315a

59b9287a187e8b611d9b027544574e7a

a54f4cef4f1f72c361dafa288cb657fc

1878d82888fb77c426a21e1f1d996120

ae582838083b5651df0883e29caa66c6

e32cbb79663bcb2cefe39fc452eb7867

ba4b67b1548b4f1b52811095d14fb25b

40df53e429cec1c6512789810bab8cb9

IP

143.92.43.149

143.92.43.168

143.92.43.190

143.92.60.110

143.92.43.221

122.10.18.3

23.234.39.202

122.10.10.135

122.10.105.54

122.10.14.187

198.44.248.162

122.10.17.130

143.92.43.227

122.10.26.236

103.214.140.108

23.234.37.182

143.92.43.234

45.195.57.98

143.92.43.202

产品体验