“银狐”团伙使用核酸检测退费发票信息主题的钓鱼攻击增多

2024年 5月 28日 160.7k 0

   近期,某网络安全实验室持续监控并分析一个被称为"银狐"的钓鱼活动动向。该实验室最新监测数据显示,利用"核酸检测退费通知"和"电子发票详情"作为饵料的钓鱼攻击案例显著上升。这些攻击主要通过即时通讯软件和电子邮件双重渠道散播。电子邮件通常以"您的电子发票待下载"为题,内容中嵌入诸如"立即查看发票详情"的诱导性文字,旨在引诱收件人点击隐藏的恶意链接。分析显示,这些钓鱼手段在执行恶意代码时,采用了复杂的字符拼接技巧来混淆数据,以此规避传统的安全软件基于静态特征的检测机制。为了协助企业和政府机构及时防御此类威胁,该实验室基于最新情报,对相关恶意样本进行了深度剖析,并准备了一份详尽的IOC(Indicator of Compromise)列表,供相关单位进行系统排查与防护,确保免受此类新兴钓鱼策略的侵扰。

   钓鱼邮件案例:

   若用户点击邮件中附带URL会跳转至某云厂商上的木马下载地址:

2.钓鱼文件

   在钓鱼诱饵文件命名方式上,除了以往常用的"**社保","**名单","**抽查"外,在5.22日出现某些医疗单位开始对符合条件的市民进行退换核酸检测费用的相关新闻后,随即捕获到了名为"2024年每个地区医院通知退核酸捡测费用流程.rar"的钓鱼攻击文件。

md5 钓鱼文件名(含解压文件) 发现攻击时间
9158492df75d0446dc05114efbeac1a6 抽查程序k.exe 2024/5/20 22:34
58805d04d1e6bc7055bdeff2c6ff28b7 2024年缴纳社保调整如下.zip 2024/5/20 22:37
0e5bee2fdee04b4eddb50056cec0c9f9 登录操作查询系统.exe 2024/5/21 12:56
7d72adb41674d089cd42d42c9c3dd516 登录操作查询系统.exe 2024/5/21 14:27
ff245fcf89c97e0ef4bad14c22b1a6e6 4月份公司违章违规处罚名单.rar 2024/5/21 15:12
f81573e824278d6ed1f84906f8c13d37 4月份公司违章违规处罚名单.rar 2024/5/21 15:16
7715cc70384f8cc4cce08eae3d6dd1a4 水 务 抽 查.rar 2024/5/21 16:07
db05b0e1b723055a96c1fc04ef8f1b88 2024***局关于企业和个人所得税政策N.exe 2024/5/21 18:40
630d3e486bf119b72ae845f9697b7828 2024年缴纳社保调整如下.rar 2024/5/21 19:37
bdbff0f6d79f3f3d4ccb9ced5f64da06 5月份公司违 规处 罚名 单.rar 2024/5/22 13:46
09a7b98e932af91dd3ed5cb6bc69ba7b 2024年每个地区医院通知退核酸捡测费用流程.rar 2024/5/22 13:48
84d9270e3368d84a3df1a15795cc2207 企 业 抽 查 对 象.rar 2024/5/22 14:01
3b063753c0710cf7713d15e810533eaa ToL终端 - 副本.exe 2024/5/22 17:12
f927240653bacd66f89bc7e843466037 ToL终端.exe 2024/5/22 17:16
c2bb71628c847a8652bc8ed99ef52f3e 票292583150065管理m.exe 2024/5/23 0:54
01b7c35a2ae0596d3e00df4a6692d497 2024年缴纳社保调整如下.zip 2024/5/23 10:28
67f2b08bc8f46b316a9ddf2d580abfb3 2024税务稽查违规涉税企业名单(电脑版).zip 2024/5/23 10:42
635f06c287153ef89c8ba7bbe9a159a5 2024年度税务稽查企业名单公示.zip 2024/5/23 12:46
a56829022d2f241bac63fd41b81cc215 医院通知退核酸检测费用《电脑版》.zip 2024/5/23 13:06

3.技术分析

   在攻击技术方面,恶意样本母体作为下载器从多个不同的URL下载rar或png格式Payload文件,解密后加载到内存,利用EnumDateFormatsA函数执行回调的方式执行shellcode,最终运行远程控制木马。同时,木马还通过动态获取系统API函数、使用大量字符拼接数据的方式对抗静态特征检测。样本中嵌入了大量字符:

将字符拼接组合得到加密数据:

   逐字节读取数据,解密出恶意代码并加载到内存:

   动态加载Windows系统模块并调用所需函数:

   下载payload文件xingpai.weilay.com[.]cn/llq.rar,利用EnumDateFormatsA函数执行回调的方式执行shellcode:

   相关IOC

MD5:

9158492df75d0446dc05114efbeac1a6
58805d04d1e6bc7055bdeff2c6ff28b7
0e5bee2fdee04b4eddb50056cec0c9f9
7d72adb41674d089cd42d42c9c3dd516
ff245fcf89c97e0ef4bad14c22b1a6e6
f81573e824278d6ed1f84906f8c13d37
7715cc70384f8cc4cce08eae3d6dd1a4
db05b0e1b723055a96c1fc04ef8f1b88
630d3e486bf119b72ae845f9697b7828
bdbff0f6d79f3f3d4ccb9ced5f64da06
09a7b98e932af91dd3ed5cb6bc69ba7b
84d9270e3368d84a3df1a15795cc2207
3b063753c0710cf7713d15e810533eaa
F927240653BACD66F89BC7E843466037
c2bb71628c847a8652bc8ed99ef52f3e
01b7c35a2ae0596d3e00df4a6692d497
67f2b08bc8f46b316a9ddf2d580abfb3
635f06c287153ef89c8ba7bbe9a159a5
a56829022d2f241bac63fd41b81cc215

URL:

https[:]//wwwhjhjjsjgj15-1326536099.cos.ap-guangzhou.myqcloud[.]com/GHJGJ150/setupPDF3.exe
https[:]//iciigkudpg-1323099064.cos.ap-beijing.myqcloud[.]com/u9jIP5TGA9U6S.html
https[:]//kmfisqbrdi-1323099064.cos.ap-beijing.myqcloud[.]com/cNm03.html
https[:]//canxnquxul-1323099064.cos.ap-beijing.myqcloud[.]com/dan.htm
http[:]xingpai.weilay.com[.]cn/llq.rar
http[:]//xingpai.weilay.com[.]cn/trx37.zip
entirehub[.]xyz/update/2.png
greenka[.]homes/update/2.png
studenthome[.]top/head/2.png
hellohouse[.]life/update/2.png
www.dgsksc[.]com/head/2.png

Domain:

xingpai.weilay.com[.]cn
entirehub[.]xyz
greenka[.]homes
studenthome[.]top
hellohouse[.]life
www.dgsksc[.]com

参考链接:    https://www.threatdown.com/blog/gootloader-05-23-2024/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论