“银狐”团伙再度出击:利用易语言远控木马实施钓鱼攻击
2024-7-11 11:8:27 Author: www.freebuf.com(查看原文) 阅读量:6 收藏

一、概述

自2023年上半年“银狐”工具被披露以来,涌现了多个使用该工具的黑产团伙。这些团伙主要针对国内的金融、教育、医疗、高新技术等企事业单位,集中向管理、财务、销售等从业人员发起攻击,窃取目标资金和隐私信息。该团伙惯用微信/QQ等即时通信工具、钓鱼邮件、钓鱼网站等途径投递远控木马,钓鱼通常围绕财税、发票、函件、软件安装包等不同主题。鉴于使用该去中心化黑产工具的团伙众多,我们将其统称为“银狐”相关团伙。

新华三聆风实验室在近期捕获的某一银狐团伙发起的钓鱼攻击活动中,首次检测到该团伙使用了一款由易语言编写的远控木马——"刺客远程"。基于对“银狐”相关团伙攻击活动的持续跟踪监控,发现该团伙擅长使用财税、发票等主题的钓鱼邮件,利用自动下载页面传播初始载荷,并习惯将初始载荷文件命名为“setup*****.exe”,在前段时间曾使用毒鼠、魔改gh0st等远控发起了针对财税人员的大规模攻击活动,已有友商公开披露。此次监测到的攻击活动中,该团伙保持了相同的投递方式,但使用了新的远控载荷,不难看出该团伙不断变换新的工具来躲避检测。

二、攻击方式

1720666837_668f4ad5c2c8df3f36251.png!small?1720666838337

1720664573_668f41fd12a3362470cbd.png!small?1720664573874

一旦访问此钓鱼网站就会自动下载初始载荷到受害者主机上,钓鱼网站页面源码如下:

1720664588_668f420cd260bdecfaad2.png!small?1720664589289

自动下载的初始载荷文件名由“setup+日期”组成:

1720664612_668f42247a30e34bc91e9.png!small?1720664613019

三、攻击荷载

捕获到部分最新的攻击载荷文件如下:

1720665510_668f45a6676749ae6c02d.png!small?1720665511606

四、样本分析

执行流程

以“setup_20240621.exe”为例,该初始载荷样本分为两个阶段执行,第一阶段除了作为下载器去下载执行第二阶段的远控模块,还会完成母体程序的安装和持久化操作。

1720664716_668f428c010662b608feb.png!small?1720664716366

详细分析

1720665596_668f45fc517afd8521819.png!small?1720665596860

通过对比程序入口点和相关字符串特征判断该样本及后续组件都是由易语言编写,使用黑月编译插件编译。

1720664749_668f42ad90aa27c633098.png!small?1720664750441

setup20240621.exe主要功能是从自身解密一个dll,并在内存中加载执行,调用其导出函数“ds145_gf4789_er7y7”。

1720664761_668f42b9c5c3bbd2df5cc.png!small?1720664762424

1720665704_668f46681770c5e05791e.png!small?1720665705002

ds145_gf4789_er7y7.dll会检查命令行参数,若不带参数,则表示是初次执行,其将当前进程的可执行文件(即setup20240621.exe)复制安装到“%ProgramFiles%\EzNYshQLnQq.exe”,添加上命令行参数“h8r54h”重新运行。

1720664805_668f42e5f26dcd60ad402.png!small?1720664806904

1720664823_668f42f7066f83bd7cca8.png!small?1720664823748

当以参数“h8r54h”运行时,先检查受害主机上是否有360杀软进程。若有则临时删除受害主机的路由表信息,待添加服务项和重新运行完成后恢复。然后添加服务项实现持久化,服务项名称为“IZukEe CSbpO”,执行路径为“%ProgramFiles%\EzNYshQLnQq.exe Service 0”,带有参数“Service”和“0”,添加完成后启动该服务项。最后使用参数“c2r53h”重新运行。

1720664836_668f43044927618b18e25.png!small?1720664836813

1720664842_668f430a0355406f450ad.png!small?1720664842411

当以参数“Service”运行时,因程序逻辑上有问题,第二个参数“0”在此无效,其直接使用参数“inject”重新运行。

1720664855_668f431700a4527e77f24.png!small?1720664855893

1720664861_668f431ddc9c924064a4c.png!small?1720664862249

当以参数“inject”运行时,遍历当前进程,查找可利用的系统进程,但排除“svchost.exe”,获取目标系统进程的可执行文件重新创建一个进程,带上“over”参数,然后通过对此新进程镂空替换成当前恶意进程的PE数据实现注入执行。

1720664895_668f433fc235a423bd4a1.png!small?1720664896395

1720664901_668f4345bd3f19a2cdfd3.png!small?1720664903064

只要第一个命令行参数不为“h8r54h”、“Service”、“inject”时,就会开始执行远控模块下载,如前面提到的参数“c2r53h”、“over”。该恶意软件使用bbtcp.dll网络通讯库来实现与控制端之间 消息的收发和处理。

1720664917_668f4355daa485afd2441.png!small?1720664918262

1720664922_668f435af2e4e22c3d63f.png!small?1720664923503

其通过向控制端发送“opqrst4840608604244044”来获取远控模块dll。

1720664938_668f436a96114ba23c169.png!small?1720664939328

远控模块在内存中被加载执行,执行其导出函数“ServetGetip”,C2地址和端口及相关信息作为参数传入,相关包括该远控木马版本号、服务项名称、可执行文件路径等。

1720664955_668f437b99d72060906dd.png!small?1720664956255

1720664961_668f438127002cefc22ab.png!small?1720664963823

1720665902_668f472e31bcba2616b68.png!small?1720665907347

ServetGetip拼接作为参数传入的可执行文件名和服务项名作为互斥量名来创建互斥量。

1720664978_668f43926272c22d90c97.png!small?1720664981891

然后收集系统基本信息和被控主机当前状态,包括用户名、系统版本、主机ip、当前进程列表,桌面文件、打开的窗口列表等,通过上线 消息发送给控制端。接着,ServetGetip使用作为参数传入的C2和端口与控制端建立连接,发送上线 消息,接收下发的命令,并创建线程定期发送心跳包。除心跳包外,上线 消息与控制端下发的命令数据都经过zlib压缩再发送。

1720665001_668f43a905dba11f3045a.png!small?1720665001549

在该dll中同时发现了其他c2域名:addr.ktsr[.]cc。

1720665016_668f43b86a9436fa2d07e.png!small?1720665017034

在命令接收和处理模块,该dll通常以一个6字节的值代表一个指令,如:

1720665031_668f43c7e114fbd869726.png!small?1720665032828

通过关联对比分析,我们发现本次使用的是一款名为“刺客远程”的远控木马。该远控木马最早于2023年6月在Telegram上被公开售卖,此后不断迭代更新,最近一次更新是今年6月,已更新到V13版本。

1720665049_668f43d937c40c8bbed9e.png!small?1720665050307

1720665059_668f43e35aa40369e769a.png!small?1720665062104

五、防护建议

1720667046_668f4ba69cc7713c4a9a5.png!small?1720667047045

IOC

Hash:

4538b7f84f7dcab0556daa3400d97cd1

e85a6af750d33453fa05512181e3ede7

8F23DE3F274584C282FD72B8DE6596C1

64d8de6a05cc6319f2370f7b776c36f6

15de4fd1765d69d55c04163d8565a4c4

86678348b7a7e425c5fcead7af70cb70

5dd23ad06c1bb956425a7b083dd96908

82d637db9195dee5ab50124518702fd4

967c9d3a6e2736a0a44f3e433cb841f2

b19306d9b01c72405fffbfff98e7d7bc

7a49d978f72c547aa9d87ed0ecf7b541

9097fbd7655474e216dff425282b0482

4b5ec1df57b290de76ed25855c80f5df

54e2396055472d8016e0a2271c2b54bf

9d2e54097db821b72589a1e4e1cc4ba9

afce67455a1503a450f7d8e74ad90da8

77ea2ab7c7111ad3184aa217d7f1084b

1720666928_668f4b30bebae45e3caba.png!small?1720666931956

hxxps://kdrhyx.com[.]cn/dzfp.html

hxxps://dzfpqunhdh[.]com.cn/dzfp.html

hxxps://laodpyun789[.]cn/dzfp.html

hxxps://laodpyun789[.]com.cn/dzfp.html

hxxps://nfgjjcvs[.]com.cn/dzfp.html

hxxps://cbdrhnnd[.]com.cn/dzfp.html

hxxps://bmygdsdg[.]com.cn/dzfp.html

hxxps://yundp70[.]com.cn/dzfp.html

hxxps://www.laodpyun789[.]cn/dzfp.html

hxxps://dzfpqunhdh[.]com.cn/dzfp.html

hxxps://www.meimaojiaju[.]work/setup_20240611.exe

hxxps://shuiwuwj[.]com.cn/

hxxps://sedbiy[.]com/

C2:

103.164.62[.]75:5678

103.17.116[.]234:6666

103.214.146[.]19:5678

107.151.245[.]209:2022

154.82.93[.]210:2022

206.2.220[.]211:2024

206.238.114[.]12:2022

206.238.115[.]145:6666

fapiao01[.]top

gdujno8fdg[.]com

addr.ktsr[.]cc

addr.whatareyoudo[.]top

raoguo.iafuyis[.]com

guorao.iafuyis[.]com


文章来源: https://www.freebuf.com/news/405712.html
如有侵权请联系:admin#unsafe.sh