自银狐钓鱼攻击事件爆发以来,该家族以及其同类变种家族持续活跃,样本对抗形式多样并且变化迅速,往往在发现攻击样本的第二天,新样本已经替换了旧样本。在这种态势之下,安全防御产品除了需要及时提取特征更新引擎病毒库以外来,还需要通过样本动态行为特征检测来提升识别率和识别速度。
腾讯安全科恩实验室与腾讯安全电脑管家安全产品运营侧进行联动,将可疑灰样本投递到科恩实验室云沙箱进行模拟执行,待样本产生行为日志后,再结合情报能力和行为组合特征对样本恶意属性进行二次研判(新出现的文件最快可在15分钟内自动化判黑),避免用户被骗中招造成敏感信息泄露或财产损失。
诱饵特点
科恩实验室近日检测出的钓鱼诱饵文件中“2024”主题的内容激增,且已存在办公网络环境批量失陷的客户案例。2024年新年开工之际,钓鱼文件以“薪资补贴”,“工资补助”,“税率调整”,“社保缴纳”,“税收优惠”主题进行命名的比例大幅增多。
腾讯安全团队提醒用户,如有从邮件附件,社交聊天软件,聊天群,办公通信软件等渠道接收到类似的文件,已经被提示为恶意文件的千万不要打开,没有提示的也要仔细甄别。
钓鱼诱饵文件名:
2024年1月最新发布-财会人员薪资补贴调整新政策所需材料.exe
2024年最新高级会计工资补助处理手册11.exe
人社部发〔2024〕关于个税调整及社保缴纳比例公布(电脑版).exe
2024关于企业单位调整增值税税率有关政策.exe
财会人员薪资补贴调所需材料.exe
企业税收-优惠政策操作指南.exe
2024年“国家补助”会计福利优惠新政策.exe
2024财会人员薪资补贴通告(密码:321).exe
2024年关于企业员工《社保医保缴纳新规定》最新发布(试行方案).exe
关于24年度企业所得税年度纳税申报有关最新事项【电脑版】.exe】
技术分析
钓鱼样本常见的执行路径是使用MSI文件打包,白加黑启动恶意DLL,将恶意代码注入系统白进程,内存解密shellcode加载,读取并解密非PE文件,从云平台分发payload数据。此外,最近几天发现新型的通过VB实现的木马有所增多,这些VB钓鱼诱饵压缩包文件名称为:
2024年度1月税务稽查局企业随机抽查结果名单公示.zip
2024年新政财会人员薪资补贴调整新政策.zip
压缩包解压出的文件如下,从命名编号来看,该类型的攻击样本从2024年1月末开始投放,到最近几天投放数量逐渐增多(该批样本已通过腾讯TAV引擎添加特征识别):
通过反编译后,可以看到请求 154.91.55.108 判断出口IP,判断是否为云机器
查看显卡等硬件信息判断虚拟机环境
通过cmd命令自删除
解密加载shellcode
内存dump出来的shellcode 代码
shellcode连接远程地址38.55.215[.]168
连接端口为7000或者8000
IOC
SHA256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https[:]//ced-oss.oss-cn-shanghai.aliyuncs[.]com/2.dat
https[:]//ced-oss.oss-cn-shanghai.aliyuncs[.]com/d.jpg
http[:]//oqlap5.2xsi.cn[:]8099/sdfsd23/act[.]rar
http[:]//89u1ej.uyg4[.]cn:8099/ts/exehook11.dll
IP
38.55.215[.]168
122.10.13[.]144
123.176.98[.]122
107.151.245[.]85
122.10.11[.]251
122.10.10[.]135
206.238.220[.]75
参考链接: https://mp.weixin.qq.com/s/BfxA2hbpLAn3jnMaNm7phg
图片来源网络目标可联系删除