银狐组织的钓鱼投毒事件

自银狐钓鱼攻击事件爆发以来，该家族以及其同类变种家族持续活跃，样本对抗形式多样并且变化迅速，往往在发现攻击样本的第二天，新样本已经替换了旧样本。在这种态势之下，安全防御产品除了需要及时提取特征更新引擎病毒库以外来，还需要通过样本动态行为特征检测来提升识别率和识别速度。

腾讯安全科恩实验室与腾讯安全电脑管家安全产品运营侧进行联动，将可疑灰样本投递到科恩实验室云沙箱进行模拟执行，待样本产生行为日志后，再结合情报能力和行为组合特征对样本恶意属性进行二次研判(新出现的文件最快可在15分钟内自动化判黑)，避免用户被骗中招造成敏感信息泄露或财产损失。

诱饵特点

科恩实验室近日检测出的钓鱼诱饵文件中“2024”主题的内容激增，且已存在办公网络环境批量失陷的客户案例。2024年新年开工之际，钓鱼文件以“薪资补贴”，“工资补助”，“税率调整”，“社保缴纳”，“税收优惠”主题进行命名的比例大幅增多。

腾讯安全团队提醒用户，如有从邮件附件，社交聊天软件，聊天群，办公通信软件等渠道接收到类似的文件，已经被提示为恶意文件的千万不要打开，没有提示的也要仔细甄别。

钓鱼诱饵文件名：

2024年1月最新发布-财会人员薪资补贴调整新政策所需材料.exe

2024年最新高级会计工资补助处理手册11.exe

人社部发〔2024〕关于个税调整及社保缴纳比例公布（电脑版）.exe

2024关于企业单位调整增值税税率有关政策.exe

财会人员薪资补贴调所需材料.exe

企业税收-优惠政策操作指南.exe

2024年“国家补助”会计福利优惠新政策.exe

2024财会人员薪资补贴通告（密码：321）.exe

2024年关于企业员工《社保医保缴纳新规定》最新发布（试行方案）.exe

关于24年度企业所得税年度纳税申报有关最新事项【电脑版】.exe】

技术分析

钓鱼样本常见的执行路径是使用MSI文件打包，白加黑启动恶意DLL，将恶意代码注入系统白进程，内存解密shellcode加载，读取并解密非PE文件，从云平台分发payload数据。此外，最近几天发现新型的通过VB实现的木马有所增多，这些VB钓鱼诱饵压缩包文件名称为：

2024年度1月税务稽查局企业随机抽查结果名单公示.zip

2024年新政财会人员薪资补贴调整新政策.zip

压缩包解压出的文件如下，从命名编号来看，该类型的攻击样本从2024年1月末开始投放，到最近几天投放数量逐渐增多（该批样本已通过腾讯TAV引擎添加特征识别）：

通过反编译后，可以看到请求 154.91.55.108 判断出口IP，判断是否为云机器

查看显卡等硬件信息判断虚拟机环境

通过cmd命令自删除

解密加载shellcode

内存dump出来的shellcode 代码

shellcode连接远程地址38.55.215[.]168

连接端口为7000或者8000

IOC

SHA256
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URL

https[:]//ced-oss.oss-cn-shanghai.aliyuncs[.]com/2.dat
https[:]//ced-oss.oss-cn-shanghai.aliyuncs[.]com/d.jpg
http[:]//oqlap5.2xsi.cn[:]8099/sdfsd23/act[.]rar
http[:]//89u1ej.uyg4[.]cn:8099/ts/exehook11.dll

IP

38.55.215[.]168
122.10.13[.]144
123.176.98[.]122
107.151.245[.]85
122.10.11[.]251
122.10.10[.]135
206.238.220[.]75

参考链接： https://mp.weixin.qq.com/s/BfxA2hbpLAn3jnMaNm7phg

图片来源网络目标可联系删除