[0510] 一周重点威胁情报｜天际友盟情报站

热点情报

银狐钓鱼团伙2024年1-5月攻击特点剖析
恶意程序仿冒Chrome浏览器针对国内用户
APT28对波兰政府机构发动大规模恶意软件活动
SecretCrow语音网络钓鱼组织对韩国实施金融欺诈活动
巴基斯坦组织利用Android恶意软件对印度国防军开展间谍活动

APT攻击

伊朗APT42组织最新网络钓鱼活动追踪
礼品卡欺诈团伙Storm-0539针对零售公司
Core Werewolf组织试图攻击俄罗斯在亚美尼亚的军事基地
BOGUSBAZAAR犯罪团伙运营囊括数万域名的虚假电商网络

技术洞察

Goldoon僵尸网络行为介绍
AsyncRAT近期攻击活动披露
HijackLoader恶意软件更新规避技术
针对网络设备的Cuttlefish恶意软件平台揭秘
多种恶意程序伪装成MS Office破解版进行分发
Microsoft Graph API遭攻击者利用的频率正在增加
zEus Stealer通过Crafted Minecraft游戏源包分发
Google Play商店遭投毒，安卓用户成为Clicker木马目标
ViperSoftX恶意软件利用基于深度学习的Tesseract工具窃取数据

情报详情

银狐钓鱼团伙2024年1-5月攻击特点剖析

2024年1月至5月，腾讯对"银狐"(又被称作"谷堕大盗"、"树狼"、"游蛇")钓鱼攻击黑产团伙的传播途径和攻击手法进行了持续跟踪。据悉，该团伙常通过社交聊天软件、邮件附件投递钓鱼文件或钓鱼链接URL，伪装成知名软件安装包等方式，进行针对性的传播。其攻击对象主要为企业单位中的财务、税务工作人员，其次为教育、电商、货运、设计等行业人员。根据分析整理，该团伙的典型攻击特征有以下七点：
1. 以chm、msi、pyinstaller等多种形式的载体打包母体文件，母体进一步释放或下载裹挟恶意代码的xml、jpg、dat、png等后缀的非PE文件；
2. 母体文件会通过加壳、代码混淆、检测杀毒软件进程和虚拟机等方式对抗分析；
3. 宿主进程读取母体释放的非PE文件并定位目标数据段，然后通过异或等算法解密出远控木马程序，使用的远控木马绝大部分为Gh0st；
4. 在执行木马程序阶段，利用白加黑执行、进程代码注入、内存加载shellcode、与合法程序源码一起打包编译、利用商业远控软件等手法进行免杀；
5. 通过个人网站、FTP服务器、云存储桶、云盘、云笔记等平台下载托管的恶意文件；
6. 通过添加系统启动项和计划任务进行持久化攻击；
7. 利用golang、C#、vbe、vbs、bat、js、lua、powershell等多种语言开发，以实现其多样化的对抗需求。
此外，研究人员发现，在2月以后，"银狐"钓鱼攻击的量级有所下降，但每日受攻击用户仍维持在约1000的高位水平。连接C2时，样本会高频使用一些端口，其通过数字简单排列或者重复的端口使用占比也较大，另外部分还使用了代表年份的数字来作为通信端口。钓鱼时，投递的PE可执行文件中占比最高的为EXE，其次为MSI类型。钓鱼文件命名则涉及财税类、发票订单类、视频资源类、政策通知类等主题。为躲避检测，攻击者会将Gh0st等类型的木马加密后隐藏在文件数据中，或者从远程服务器下载，最终通过加载器解密执行。执行过程中，还会使用反沙箱、反虚拟机、白+黑启动、进程代码注入、内存加载等技术。为达到完全控制主机的目的，还会将进程提升至具备特殊权限的等级，例如执行远程关机、加载设备驱动、创建计算机账户等操作，还会通过创建启动项、计划任务对木马进行启动，以便后续可持续对主机进行控制。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=2907cc2b5cfc450d8bc399d6957c5c8d

恶意程序仿冒Chrome浏览器针对国内用户

近期，安全人员发现一个伪装成Chrome安装包的恶意软件，用户在运行安装程序后将看到正常的Chrome安装，同时浏览器主页被劫持篡改为hao123。该程序主要具有三个功能。功能一是获取推广规则配置文件，推广文件中涉及百度、hao123、360、2345、jd等需要推广的网站及相应推广规则。推广过程中，程序还将修改浏览器的配置文件，涉及偏好设置、书签等。功能二是建立持久化，程序会修改注册表创建COM组件并关联DLL库，然后使COM组件与Credential Providers相关联，最终实现用户登录时Windows中的LogonUI.exe自动运行COM组件下的DLL函数，该函数会寻找恶意程序文件路径并启动程序，实现样本持久化。功能三是统计信息。程序会统计被感染主机的硬件信息、是否安装360等，并根据信息进行应对。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=2ca52c48d0ad4c83aa0ae63443b3715e

APT28对波兰政府机构发动大规模恶意软件活动

CERT Polska和CSIRT MON近期观察到与俄罗斯武装部队总参谋部主要情报局相关联的APT28组织针对波兰政府机构发动了大规模恶意软件活动。据悉，活动感染链始于包含恶意链接的网络钓鱼邮件，链接会将用户定向到一个开发人员用于创建和测试API的免费服务地址"run.mocky.io"，以及另一个同样在IT相关人士中受欢迎的"webhook.site"网站。随后，攻击者从webhook.site下载ZIP文档，文档名称以IMG-开头，以随机数结尾(如IMG-238279780.zip)，它实际上包含三个文件：更改名称的Windows计算器(如IMG-238279780.jpg.exe)，.bat脚本(隐藏文件)，虚假的WindowsCodecs.dll库(隐藏文件)。一旦受害者运行IMG-238279780.jpg.exe白文件，它就会在启动过程中尝试侧加载被攻击者替换的WindowsCodecs.dll库，进而运行BAT脚本。BAT脚本再打开 Microsoft Edge，以加载经Base64编码的页面内容并通过webhook.site下载另一个批处理脚本。与此同时，浏览器会显示真实女性穿着泳衣的照片以及她在社交媒体平台上真实帐户的链接，其目的是使攻击者的叙述可信并麻痹接收者的警惕性。批处理脚本负责下载的文件则以.jpg扩展名形式保存在磁盘上，它将扩展名更改为.cmd并最后执行。最终，脚本再收集受害者计算机信息，然后将其发送到C2服务器。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=b85d9e2567594557849ecc5fb65b61be

SecretCrow语音网络钓鱼组织对韩国实施金融欺诈活动

S2W近期发现，SecretCrow语音网络钓鱼组织正在构建一系列冒充执法机构、金融机构的网络钓鱼页面，通过开发恶意Android应用程序来诱骗受害者访问钓鱼网站，进而安装用于金融欺诈的应用程序(包括SecretCalls Loader和SecretCalls)以从受害者那里窃取金钱。据悉，钓鱼网站使用在Google Play商店注册的"警察厅Cybercop"和"Phishing Eyes"等主题。一旦用户单击网站上的"安装"按钮，就会下载恶意的APK文件，名称格式为[A-Za-z0–9]{5}.apk。其中，SecretCalls恶意软件历来是由冒充"国家警察局"和"总检察长办公室"等执法机构以及金融公司的钓鱼网站等途径实现传播，它伪装成各种主题，如反语音网络钓鱼应用程序、视频播放器、购物中心等，以加密形式存在于资源路径中，并使用"secret-classes.dex"作为混淆后的DEX文件名，该远程控制应用程序包含"呼叫转移"功能，可使对合法机构电话号码的呼叫无效，并强制呼叫攻击者。SecretCalls Loader则充当SecretCalls的植入和加载程序，它使用Android架构来应用反分析技术，将执行模拟器检测、类/函数名称混淆、DEX加密、DEX动态加载，进而触发第二阶段SecretCalls恶意软件的安装。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=4dbbfef4817c4fa79c6cd2117f618abd

巴基斯坦组织利用Android恶意软件对印度国防军开展间谍活动

CYFIRMA最近监测到，巴基斯坦APT组织疑似向印度国防人员推送了Android恶意软件。据悉，该活动已持续长达一年，攻击者似乎使用了由EVLF开发的Spynote Android远程管理工具或其名为"Craxs Rat"的已知修改版本来生成恶意有效负载，且应用程序经高度修改和混淆，难以被检测。根据捕获的一个Android样本，研究人员发现攻击者试图通过冒充高级官员并尝试利用社会工程学技术直接从WhatsApp Messenger将恶意软件分发给印度国防人员。期间，交付的应用程序被命名为"MNS NH Contact.apk"和"Posted out off.apk"，文件看起来与防御相关，一旦安装，应用程序就会巧妙地将自己伪装成"联系人"应用程序，引导受害者至一次性点击权限页面，进而访问受害者的联系人列表、通话记录和短信，并可执行屏幕监控功能，但只有当受害者打开辅助访问权限时才会激活该功能。

详情查询：https://redqueen.tj-un.com/IntelDetails.html?id=b09193592f70471bb9209df6878968be