-
由于该团伙的域名资产中含有大量“heimao-*(三位数字).com”特征域名,微步情报局将该团伙命名为“黑猫”。
-
“黑猫”最早能追溯到22年,该团伙部署仿冒的telegram的中文官方网站,并利用SEO技术将网站放置到搜索引擎结果靠前位置,诱导受害者点击下载安装。
-
“黑猫”在23年部署AICoin(虚拟货币行情交易平台)虚假的下载网站,并使用搜索引擎关键字竞价排行方式置于Google搜索结果前列,受害者点击后下载了带有后门的样本,导致受害人设备中浏览器插件钱包全链资产遭到清空,其中仅BSC链便有超过16万美金的损失。
-
“黑猫”在24年再次活动,部署了Google浏览器虚假下载网站,并通过SEO的方式提高在Bing搜索引擎结果的排行,受害者点击下载后在安装目录中释放挖矿程序,程序远程下载了挖矿配置文件,解析配置文件后连接矿池地址进行挖矿。
-
通过对团伙的资产挖掘,发现“黑猫”擅长使用各种在搜索引擎中提高网站排名的手法,利用该手法来提高部署的钓鱼页面在搜索引擎中的排行,这些钓鱼网站常见部署的主题有:WPS,Chrome,搜狗输入法等,除此之外,“黑猫”也部署针对数字货币行业常用软件:Telegram,AIcoin,Tradingview,Electrum钱包,okx欧易数字货币交易所,Gate交易所,快帆VPN等。
-
“黑猫”通过部署的钓鱼网站投递各类恶意样本,样本中存在银狐木马,变种Gh0st木马,窃密木马,以及XMRig挖矿木马,其中木马的C2地址和今年上半年金眼狗所使用的远控后门内置的C2地址相同,这表明“黑猫”疑似和金眼狗组织具有一定关联。
-
“黑猫”主要目标还是以赚钱盈利为主,目标之一为安全意识不足的数字货币行业从业人员,通过远控主机来盗取受害者的虚拟货币。同时,该团伙也会部署一些常用软件的钓鱼网站来远程控制肉鸡,通过在肉鸡上下载挖矿组件进行挖矿行为牟利。
-
微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。
-
在微步情报局发文后,“黑猫”发现自己已经暴露,于上周下架了多个钓鱼网站,因此部分IOC已失效,但“黑猫”仍然可能卷土重来,微步情报局会密切关注“黑猫”的后续动向。
2.1 攻击者画像
|
|
|
|
|
|
|
|
|
|
|
|
2.2 攻击流程
2.3 攻击特点
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
https://zh-csvpn.com/ https://transocks-vpn.com/ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
在对“黑猫”的投递样本分析时,发现“黑猫”投递的样本复杂多样,各种Gh0st魔改远控,银狐木马,窃密软件,XMRig挖矿木马层出不穷,且样本更新速度很快,投递的loader中带有具备对抗各大杀软,反虚拟机调试,反沙箱技术,这体现出“黑猫”具备优秀恶意样本开发能力。
3.1 盗窃虚拟货币
3.2 挖矿木马投递
3.3 历史投递apk样本
在对该远程服务器域名进行拓线分析时,发现其历史上存放众多伪造软件安装的样本:
扫码链接下载文件:https://cdn-down.cdndown.shop/telegram_1119.apk
3.4 投递远控样本
3.5 使用银狐远控
3.6 关联金眼狗
在今年4月时,金眼狗团伙部署了伪造快连VPN的钓鱼网站(letssvpn.vip),并通过SEO将其放到Google搜索引擎前列,最后下载带有后门程序的安装包Kuaivpn-n-3.msi(dddbd75aab7dab2bde4787001fd021d3),安装该程序释放远控后门,连接在后门中内置编码的C2地址,其中就包含27.124.43.226:15628。
样本分析
4.1 窃密木马
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
详细分析
第一阶段:初始安装程序
第二阶段:白加黑利用组件
第三阶段:解密dll程序
对其解密木马进行分析
4.2 挖矿木马
|
|
|
|
|
|
|
|
|
|
详细分析
如果存在相关情报告警,查询:
-
检查浏览器历史记录是否存在钓鱼网站访问记录
-
检查浏览器下载文件的原始链接中是否存在披露的下载URL
-
检查进程中是否存在通过其他白签名文件启动的软件(例如下面文件使用甲骨文签名的文件启动了Chrome,但实际上该文件是白加黑利用文件中的白程序): -
检查桌面软件的快捷方式启动的实际链接文件(安装包运行后,会在桌面生成快捷方式,但是快捷方式不是直接指向安装程序,而是指向安装目录下白加黑的后门程序)
5.2 处置建议
-
关闭相关进程 -
删除带有后门的安装软件整个目录,并清除桌面快捷方式 -
主机全盘进行病毒扫描以及查杀 -
排查主机自启动项,清除可疑的启动项
zh-aijiasu.com
ajsvpn.com
zh-mexc.com
zh-potato.com
potato-zh.com
cs-vpn.com
zh-csvpn.com
transocks-vpn.com
fl-vpn.com
qobddze.cn
oeokx.cn
okx-client.cn
zh-okex.cn
zh-gateio.cn
aicoinzh.com
tradingview-en.com
ayicoin.com
nbxieheng.cn
todesk-zh.com
telegram-apk.com
aicoims.com
cn-wps.com
i4.com.vn
titamic.com
simmem.com
golomee.com
206.238.40.164:2869
103.215.76.136:2869
202.146.220.95:6666
202.146.220.95:8888
http://mmm3.oss-cn-hongkong.aliyuncs.com/IBusEnum.zip
http://zhcn.down-cdn.com/todeskx64.zip
https://zhcn.down-cdn.com/todeskx64.zip
http://zhcn.down-cdn.com/speedin-x64.zip
http://zhcn.down-cdn.com/gateio-win64.zip
http://zhcn.down-cdn.com/chromex64.zip
https://zhcn.down-cdn.com/chromex64.zip
http://zhcn.down-cdn.com/mexc_winx64.zip
https://zhcn.down-cdn.com/mexc_winx64.zip
http://zhcn.down-cdn.com/ajiasu_x64.zip
https://zhcn.down-cdn.com/ajiasu_x64.zip
https://zhcn.down-cdn.com/potato_latestx64.zip
https://zhcn.down-cdn.com/transocks_x64.zip
https://zhcn.down-cdn.com/feilian_latestx64.zip
https://www.heimao-131.com/jhpesYW7cW
https://www.heimao-132.com/SWD8yn5IZB
https://www.heimao-134.com/SWD8yn5IZB
https://www.heimao-134.com/4xJSKVzrUX
https://longfeng1688.oss-cn-hongkong.aliyuncs.com/WPS_Setup_1688.exe
https://paopaoliaotian.s3.ap-east-1.amazonaws.com/wps/off_WPS_Setup_win-x64.exe
https://softs-downloads.oss-ap-southeast-1.aliyuncs.com/aisi.msi
http://cdn-down.cdndown.shop/config.json
mm.bitbrowser.me:3333
8.210.11.47:3333
47.239.126.185:3333
原文始发于微信公众号(微步在线研究响应中心):新黑产团伙“黑猫”技术细节曝光
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论