目标财务！国内黑产团伙开始投递CHM诱饵

2023年10月23日22:27:13评论16 views字数 2666阅读8分53秒阅读模式

概述

近期奇安信威胁情报中心捕获到针对财务人员的钓鱼样本，样本格式为CHM。该样本在双击运行之后首先释放并加载dotnet模块，dotnet模块将根据系统架构的不同加载不同的shellcode，shellcode从服务器远程下载svchost.exe、libcef.dll和libcef.png等载荷，通过模拟点击断链技术执行svchost.exe加载libcef.dll中的核心恶意代码，达到收集主机信息，浏览器历史记录，自启动等功能。

黑产攻击财务的目的主要是将财务和高仿领导的账号拉到同一个群聊中，并诱导财务将钱转到指定的账户中，进而实现获利的目的。

样本分析

黑产通过邮件或者微信群投递的诱饵文档名为《2023年10月企业税务稽查内容通知.zip（离购买许可只剩7天）.zip》

目标财务！国内黑产团伙开始投递CHM诱饵

当用户双击CHM样本后，将弹出一个Windows警告。

目标财务！国内黑产团伙开始投递CHM诱饵

用户点击“是”之后恶意代码开始运行。

基本信息

MD5	06ed2c30954614fe1e8e9e8bd4619510
SHA256	172dcc050fd15c75b6e03ed55c67871d9197cf4b3b337c89623d2be41b9850c4
文件类型	CHM

Test.html首先在开头使用JS定义了一个将base64编码转换为二进制流的函数：

目标财务！国内黑产团伙开始投递CHM诱饵

随后又定义了stage_1、stage_2和stage_3三个变量的内容及大小：

目标财务！国内黑产团伙开始投递CHM诱饵

最后尝试创建一个WScript.Shell对象，用于操作Windows Shell。通过shell读取注册表中的.NET Framework版本号，如果读取失败则将stage_3赋给stage_1，并将版本号设置为v2.0.50727。随后将进程环境变量COMPLUS_Version设置为.NET Framework版本号。尝试将stage_1（经过Base64编码的二进制数据）反序列化为对象。

如果以上步骤中出现任何异常，则尝试将stage_2（经过Base64编码的另一个二进制数据）反序列化为对象，但不会抛出任何异常。

目标财务！国内黑产团伙开始投递CHM诱饵

被转化为二进制流的base64字符串在使用BinaryFormatter.Deserialize函数反序列化后将直接执行其中的代码。

阶段一

stage_1的代码如下所示：

目标财务！国内黑产团伙开始投递CHM诱饵

Stage_2与stage_3的代码功能相似，首先将一个.NET模块加载进内存：

目标财务！国内黑产团伙开始投递CHM诱饵

程序首先添加任务到keyValuePairs字典中，其中键为https://muchengoss.oss-cn-hongkong.aliyuncs.com/ + remotePath，值为"C:Users[当前用户名]Searches"下的一个随机生成的文件夹。+ fileName。将https://muchengoss.oss-cn-hongkong.aliyuncs.com/与“svchost.exe”，“libcef.dll”，“libcef.png”，“decod.exe”，“cache.dat”拼接。

目标财务！国内黑产团伙开始投递CHM诱饵

随后调用Shellcode类中的Load2方法加载shellcode。

目标财务！国内黑产团伙开始投递CHM诱饵

首先判断系统架构是64位/32位，两种情况分别加载不同的shellcode。

目标财务！国内黑产团伙开始投递CHM诱饵

阶段二

Shellcode将动态解密出Urlmon.dll并调用UrlOpenBlockStreamW函数从拼接好的URL字符串远程下载svchost.exe、libcef.dll和libcef.png。

目标财务！国内黑产团伙开始投递CHM诱饵

目标财务！国内黑产团伙开始投递CHM诱饵

先用Shellexecute open这个文件夹，然后隐藏这个文件夹的窗口

目标财务！国内黑产团伙开始投递CHM诱饵

再通过findwindows查找定位这个目录的窗口这个快捷方式文件

目标财务！国内黑产团伙开始投递CHM诱饵

最后SendMessage点击运行这个lnk文件。

目标财务！国内黑产团伙开始投递CHM诱饵

模拟点击执行的目的是断开进程链，防止EDR监控到后续的行为。

阶段三

Lnk文件的作用是启动svchost.exe。

目标财务！国内黑产团伙开始投递CHM诱饵

Svchost.exe中调用libcef.dll的导出函数有十几个，但实际上这些函数的内部都跳转到了sub_691550E0。

目标财务！国内黑产团伙开始投递CHM诱饵

目标财务！国内黑产团伙开始投递CHM诱饵

阶段四

对sub_691550E0进行分析：

目标财务！国内黑产团伙开始投递CHM诱饵

将libcef.png解密成dll文件，并创建新线程开始执行dll中的fuckyou函数：

目标财务！国内黑产团伙开始投递CHM诱饵

根据dll中的字符串信息判断，应该是根据Ghost远控源码改造而成。

目标财务！国内黑产团伙开始投递CHM诱饵

使用的数据传输协议也是IOCP。

目标财务！国内黑产团伙开始投递CHM诱饵

获取计算机的GUID

目标财务！国内黑产团伙开始投递CHM诱饵

对一些应用程序进行监控以及用户数据的收集，包括Chrome浏览器、QQ浏览器、火狐浏览器、360安全浏览器、搜狗浏览器、Skype

目标财务！国内黑产团伙开始投递CHM诱饵

检测杀软进程并关闭

目标财务！国内黑产团伙开始投递CHM诱饵

修改注册表添加自启动

目标财务！国内黑产团伙开始投递CHM诱饵

释放file_update文件并将其加载进内存运行

目标财务！国内黑产团伙开始投递CHM诱饵

设置UAC访问策略

目标财务！国内黑产团伙开始投递CHM诱饵

文件遍历

目标财务！国内黑产团伙开始投递CHM诱饵

将自身伪装成Windows update.exe。

目标财务！国内黑产团伙开始投递CHM诱饵

键盘记录

目标财务！国内黑产团伙开始投递CHM诱饵

获取systeminfo

目标财务！国内黑产团伙开始投递CHM诱饵

获取计算机用户名

目标财务！国内黑产团伙开始投递CHM诱饵

与ipconfig.cc通信，获取本机IP地址

目标财务！国内黑产团伙开始投递CHM诱饵

与C2：103.210.237.33:65422通信

目标财务！国内黑产团伙开始投递CHM诱饵

目标财务！国内黑产团伙开始投递CHM诱饵

最后保持一分钟发送一次心跳包的频率确认主机存活

目标财务！国内黑产团伙开始投递CHM诱饵

总结

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

目标财务！国内黑产团伙开始投递CHM诱饵

IOCs

MD5

06ed2c30954614fe1e8e9e8bd4619510

d1a88258376133409e0df56740683d30

0a5b0607f6db1e8c9e3d2ca0da5c8d58

b2d085ab9171d577f8b36cf58090278b

URL

https://muchengoss.oss-cn-hongkong.aliyuncs.com/

https://muchengoss.oss-cn-hongkong.aliyuncs.com/TG.exe

https://muchengoss.oss-cn-hongkong.aliyuncs.com/cache.dat

https://muchengoss.oss-cn-hongkong.aliyuncs.com/decod.exe

https://muchengoss.oss-cn-hongkong.aliyuncs.com/libcef.dll

https://muchengoss.oss-cn-hongkong.aliyuncs.com/libcef.png

C2

103.210.237[.]33:65422

目标财务！国内黑产团伙开始投递CHM诱饵

点击阅读原文至ALPHA 6.0

即刻助力威胁研判

原文始发于微信公众号（奇安信威胁情报中心）：目标财务！国内黑产团伙开始投递CHM诱饵

左青龙
微信扫一扫

右白虎
微信扫一扫

本文由 admin 发表于 2023年10月23日22:27:13
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
目标财务！国内黑产团伙开始投递CHM诱饵https://cn-sec.com/archives/2138838.html

目录

在线咨询

13688888888

8888 QQ在线咨询

微信
本页二维码