谍影幽幽,无处遁形-“幽谍犬”团伙伪装税务服务平台进行钓鱼窃密活动分析

谍影幽幽,无处遁形-“幽谍犬”团伙伪装税务服务平台进行钓鱼窃密活动分析

摘要

近期,安恒信息中央研究院猎影实验室在日常监测中发现多起以“税务”、“发票”为主题的攻击活动,主要通过伪装为“国家税务总局增值税电子发票公共服务平台”等钓鱼网站或通过社交媒体等方式下发Gh0st远控木马。

经过关联分析发现该黑灰产团伙掌握大量服务器,并长期以税务、发票和软件等主题投递Gh0st木马进行恶意窃密,安恒猎影实验室将该团伙命名为“幽谍犬”,内部追踪代号“GRP-LY-1002”。

团伙画像如下:

团伙性质

黑产团伙

活跃时间

2022年2月至今

攻击动机

信息窃取

攻击来源

未知

攻击目标

包括国内

常用工具

魔改Gh0st

传播方式

钓鱼网站、社交媒体、钓鱼邮件等

技术流程

样本运行后通过回连攻击者服务器下载并运行shellcode,shellcode通过反射dll注入加载恶意的dll文件,dll为魔改的Gh0st远控木马。

攻击流程分析

“幽谍犬”疑似通过钓鱼邮件或社交媒体方式传播虚假的发票下载网站,并诱导下载恶意文件。如观察到的部分钓鱼网站如下:

钓鱼网站伪装为“国家税务总局增值税电子发票公共服务平台”,

并诱导用户点击按钮从链接

“8.218.194[.]9/Gmail/1928117.exe”下载虚假的发票。

此外,我们通过这个网站的变化发现该团伙活动的痕迹,团伙正在不断更新“开票日期”和木马文件,说明该团伙在持续活跃。

在关联分析中,部分样本上传文件名中包含“wx_file”字符,因此推测,幽谍犬团伙可能还通过微信途径传播木马。

样本分析

示例样本信息如下:

文件名

196920.exe

md5

d97dd94448029fadbe4f874ae567526c

MFC(4.2)

加壳信息

ASProtect(1.23-2.56)

编译器

Microsoft Visual C++(6.0)

样本家族

Gh0st

样本运行首先以回连ip和端口为名称创建互斥量“8.218.194[.]9:1150”

随后连接服务器向服务器发送字符串“GETSERVER2.0”

接收来自服务器的数据,并将数据作为shellcode执行。

通过安恒云沙箱能够快速获取流量包信息:

shellcode通过反射式dll注入加载了恶意库。经分析发现,该程序为魔改的Gh0st远控木马。最终与shellcode起始地址为参数,执行库文件的“run”函数。

run函数运行首先输出大量调试信息。

以“Global\”+启动命令行为名称创建互斥量:

将自身复制到 “C:\\Program Files\\Google\\google.exe”,然后将该程序添加到run注册表键。

检查杀毒软件进程,并进行关闭:

判断文件启动命令行中是否包含“-Puppet”,实际为检查是否为第一次启动文件,如果包含,则进入恶意软件模块,否则通过远程shellcode注入启动进程explorer.exe,启动参数为“-Puppet”。

通过explorer.exe启动后将与C2服务器建立连接

连接成功后将收集系统信息并回传至服务器,收集的信息包括主机名、通过访问“hxxp://whois.pconline[.]com.cn/jsFunction.jsp”获取的主机地理位置、CPU信息、用户分组信息。

收集用户信息后,程序进入主功能模块

主要命令和功能如下:

命令

功能

0x0

某标志位置为1

0x81/0x23

执行PluginMe插件

0x33

关闭或重启计算机

0x3D

创建注册表HKEY_LOCAL_MACHINE\\SYSTEM\\Setup键的host值

0x3F

创建注册表HKEY_LOCAL_MACHINE\\SYSTEM\\Setup键的指定值

0x40

获取会话信息,包括id和用户名

0x82

上传指定文件,并执行文件

关联分析

根据ip8.218.194[.]9关联和下载器代码特征,我们捕获幽谍犬团伙大量的样本和服务器地址。根据样本上传文件名的主题,例出如下几类样本:

(1)税务新规类

文件名

哈希

发现时间

2023企业财务出纳最新政策规定.exe

383f3fca79e5d50ce3314841e4bf7a28

2023-06-14 13:52:26 UTC

2023税务最新规定111.exe

383f3fca79e5d50ce3314841e4bf7a28

2023-06-14 13:52:26 UTC

2023增值税最新规定.exe

f621c109d7f1a46fff5b40fc92addd29

2023-06-08 01:30:49 UTC

(2)伪装软件类

文件名

哈希

发现时间

HRUpdate.exe

aebd15b3d5c0b7957d52d50d13ccdbb1

2023-06-25 20:03:07 UTC

系统升级支持.EXE

bf9ee936e45c43ab62ee394bca1a885d

2023-05-13 05:00:47 UTC

Microsoft圆 Visual Studio@

e181da114221e1c4d4982287b73d965b

2023-06-06 07:26:49 UTC

SamsungPortableSSD 1.0.exe

3fb118a6d0876f82fa904def7ffb1421

2023-06-07 07:13:29 UTC

(2)系统软件类

文件名

哈希

发现时间

rundl123.exe/计算器.EXE

e0bd8c524ced6044ff53c7bb2ddb8a3c

2023-06-20 20:43:13 UTC

winlogo.exe

2284535f3a87d970b416312bb725987f

2023-06-20 08:36:57 UTC

Windos.exe

d23169b1b4617d62b1096a011492e2a7

2023-06-03 07:17:01 UTC

总结

“税务”、“发票”、“薪资”等与金钱相关的词汇是网络犯罪团伙频繁使用的主题,安恒信息再次提醒广大用户,在收到此类主题的文件或链接,请提高警惕,必要时上传至安恒云沙箱进行后续判断。

ATT&CK

ID

Name

T1592

.001

收集受害者主机CPU硬件信息

T1591

.001

收集受害者主机物理位置

T1156

.001

使用鱼叉式网络钓鱼邮件

T1204

.002

诱导用户执行恶意文件

T1547

.001

通过注册表键创建自启动

T1055

.003

通过shellcode注入和远程shellcode注入执行恶意代码

T1071

.001

通过TCP和HTTP传输数据

T1529

 

系统关闭/重启

T1057

 

进程遍历以查找反病毒软件

T1129

 

通过共享库执行

T1134

 

调整访问令牌获取关闭进程权限

防御建议

安恒猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。猎影实验室将持续对全球APT组织和团伙进行持续跟踪,专注发现并披露各类威胁事件。

目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:

安恒产品已集成能力:

针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:

(1)AiLPHA分析平台V5.0.0及以上版本

(2)AiNTA设备V1.2.2及以上版本

(3)AXDR平台V2.0.3及以上版本

(4)APT设备V2.0.67及以上版本

(5)EDR产品V2.0.17及以上版本

安恒云沙盒已集成了该事件中的样本特征。用户可通过云沙盒:https://sandbox.dbappsecurity.com.cn,对可疑文件进行免费分析,并下载分析报告。

IOC

Comments are closed.