近期,某网络安全实验室持续监控并分析一个被称为"银狐"的钓鱼活动动向。该实验室最新监测数据显示,利用"核酸检测退费通知"和"电子发票详情"作为饵料的钓鱼攻击案例显著上升。这些攻击主要通过即时通讯软件和电子邮件双重渠道散播。电子邮件通常以"您的电子发票待下载"为题,内容中嵌入诸如"立即查看发票详情"的诱导性文字,旨在引诱收件人点击隐藏的恶意链接。分析显示,这些钓鱼手段在执行恶意代码时,采用了复杂的字符拼接技巧来混淆数据,以此规避传统的安全软件基于静态特征的检测机制。为了协助企业和政府机构及时防御此类威胁,该实验室基于最新情报,对相关恶意样本进行了深度剖析,并准备了一份详尽的IOC(Indicator of Compromise)列表,供相关单位进行系统排查与防护,确保免受此类新兴钓鱼策略的侵扰。
钓鱼邮件案例:
若用户点击邮件中附带URL会跳转至某云厂商上的木马下载地址:
2.钓鱼文件
在钓鱼诱饵文件命名方式上,除了以往常用的"**社保","**名单","**抽查"外,在5.22日出现某些医疗单位开始对符合条件的市民进行退换核酸检测费用的相关新闻后,随即捕获到了名为"2024年每个地区医院通知退核酸捡测费用流程.rar"的钓鱼攻击文件。
| md5 | 钓鱼文件名(含解压文件) | 发现攻击时间 |
| 9158492df75d0446dc05114efbeac1a6 | 抽查程序k.exe | 2024/5/20 22:34 |
| 58805d04d1e6bc7055bdeff2c6ff28b7 | 2024年缴纳社保调整如下.zip | 2024/5/20 22:37 |
| 0e5bee2fdee04b4eddb50056cec0c9f9 | 登录操作查询系统.exe | 2024/5/21 12:56 |
| 7d72adb41674d089cd42d42c9c3dd516 | 登录操作查询系统.exe | 2024/5/21 14:27 |
| ff245fcf89c97e0ef4bad14c22b1a6e6 | 4月份公司违章违规处罚名单.rar | 2024/5/21 15:12 |
| f81573e824278d6ed1f84906f8c13d37 | 4月份公司违章违规处罚名单.rar | 2024/5/21 15:16 |
| 7715cc70384f8cc4cce08eae3d6dd1a4 | 水 务 抽 查.rar | 2024/5/21 16:07 |
| db05b0e1b723055a96c1fc04ef8f1b88 | 2024***局关于企业和个人所得税政策N.exe | 2024/5/21 18:40 |
| 630d3e486bf119b72ae845f9697b7828 | 2024年缴纳社保调整如下.rar | 2024/5/21 19:37 |
| bdbff0f6d79f3f3d4ccb9ced5f64da06 | 5月份公司违 规处 罚名 单.rar | 2024/5/22 13:46 |
| 09a7b98e932af91dd3ed5cb6bc69ba7b | 2024年每个地区医院通知退核酸捡测费用流程.rar | 2024/5/22 13:48 |
| 84d9270e3368d84a3df1a15795cc2207 | 企 业 抽 查 对 象.rar | 2024/5/22 14:01 |
| 3b063753c0710cf7713d15e810533eaa | ToL终端 - 副本.exe | 2024/5/22 17:12 |
| f927240653bacd66f89bc7e843466037 | ToL终端.exe | 2024/5/22 17:16 |
| c2bb71628c847a8652bc8ed99ef52f3e | 票292583150065管理m.exe | 2024/5/23 0:54 |
| 01b7c35a2ae0596d3e00df4a6692d497 | 2024年缴纳社保调整如下.zip | 2024/5/23 10:28 |
| 67f2b08bc8f46b316a9ddf2d580abfb3 | 2024税务稽查违规涉税企业名单(电脑版).zip | 2024/5/23 10:42 |
| 635f06c287153ef89c8ba7bbe9a159a5 | 2024年度税务稽查企业名单公示.zip | 2024/5/23 12:46 |
| a56829022d2f241bac63fd41b81cc215 | 医院通知退核酸检测费用《电脑版》.zip | 2024/5/23 13:06 |
3.技术分析
在攻击技术方面,恶意样本母体作为下载器从多个不同的URL下载rar或png格式Payload文件,解密后加载到内存,利用EnumDateFormatsA函数执行回调的方式执行shellcode,最终运行远程控制木马。同时,木马还通过动态获取系统API函数、使用大量字符拼接数据的方式对抗静态特征检测。样本中嵌入了大量字符:
将字符拼接组合得到加密数据:
逐字节读取数据,解密出恶意代码并加载到内存:
动态加载Windows系统模块并调用所需函数:
下载payload文件xingpai.weilay.com[.]cn/llq.rar,利用EnumDateFormatsA函数执行回调的方式执行shellcode:
相关IOC
MD5:
| 9158492df75d0446dc05114efbeac1a6 |
| 58805d04d1e6bc7055bdeff2c6ff28b7 |
| 0e5bee2fdee04b4eddb50056cec0c9f9 |
| 7d72adb41674d089cd42d42c9c3dd516 |
| ff245fcf89c97e0ef4bad14c22b1a6e6 |
| f81573e824278d6ed1f84906f8c13d37 |
| 7715cc70384f8cc4cce08eae3d6dd1a4 |
| db05b0e1b723055a96c1fc04ef8f1b88 |
| 630d3e486bf119b72ae845f9697b7828 |
| bdbff0f6d79f3f3d4ccb9ced5f64da06 |
| 09a7b98e932af91dd3ed5cb6bc69ba7b |
| 84d9270e3368d84a3df1a15795cc2207 |
| 3b063753c0710cf7713d15e810533eaa |
| F927240653BACD66F89BC7E843466037 |
| c2bb71628c847a8652bc8ed99ef52f3e |
| 01b7c35a2ae0596d3e00df4a6692d497 |
| 67f2b08bc8f46b316a9ddf2d580abfb3 |
| 635f06c287153ef89c8ba7bbe9a159a5 |
| a56829022d2f241bac63fd41b81cc215 |
URL:
| https[:]//wwwhjhjjsjgj15-1326536099.cos.ap-guangzhou.myqcloud[.]com/GHJGJ150/setupPDF3.exe |
| https[:]//iciigkudpg-1323099064.cos.ap-beijing.myqcloud[.]com/u9jIP5TGA9U6S.html |
| https[:]//kmfisqbrdi-1323099064.cos.ap-beijing.myqcloud[.]com/cNm03.html |
| https[:]//canxnquxul-1323099064.cos.ap-beijing.myqcloud[.]com/dan.htm |
| http[:]xingpai.weilay.com[.]cn/llq.rar |
| http[:]//xingpai.weilay.com[.]cn/trx37.zip |
| entirehub[.]xyz/update/2.png |
| greenka[.]homes/update/2.png |
| studenthome[.]top/head/2.png |
| hellohouse[.]life/update/2.png |
| www.dgsksc[.]com/head/2.png |
Domain:
| xingpai.weilay.com[.]cn |
| entirehub[.]xyz |
| greenka[.]homes |
| studenthome[.]top |
| hellohouse[.]life |
| www.dgsksc[.]com |
参考链接: https://www.threatdown.com/blog/gootloader-05-23-2024/
图片来源网络侵权可联系删除
