邮件安全闲聊@3、税务稽查主题钓鱼分析

admin 2024年11月25日16:52:33评论32 views字数 4645阅读15分29秒阅读模式

概述

【防骗提醒】注意!谨防这些虚假“税务稽查通知书”

近期发现有黑客团队通过邮件投递木马病毒,攻击过程伪装常用软件下载页面。在必应搜索引擎进行投流量,增加搜索权重,诱导用户进行下载。

背景:该团伙通常使用搜索引擎和微信聊天工具进行病毒投递,关联的木马病毒可能。

定性:通过分析发现病毒样本与银狐很相似。

攻击类型:搜索引擎投毒。

关联标签:银狐、黑猫、金眼狗、APT-Q-27Miuuti Group、谷堕大盗、游蛇。

事件背景

宁静的海滨小城,龙傲天经营着一家颇具规模的贸易公司,每日周旋于订单、物流与财务账目之间,日子虽说忙碌,倒也平稳。一个寻常午后,公司财务专员苏小曼神色匆匆闯进龙傲天办公室,手里紧攥着平板电脑,满脸焦急地说道:“龙总,刚收到一封奇怪的邮件,主题是‘税务稽查通知书’,看着怪吓人的。”

龙傲天心头一紧,在生意场上,税务问题向来重中之重,容不得半点马虎。他赶忙让苏小曼打开邮件,只见那邮件格式规整,行文乍一看颇具官方口吻,严正声明公司税务申报存疑,需即刻点击附件链接https://swzjxt.com/file/2”,下载详细稽查文件并按要求填写反馈,逾期将面临严惩。措辞间的紧迫感,让龙傲天手心都沁出了汗。

邮件安全闲聊@3、税务稽查主题钓鱼分析

苏小曼有些犹豫:“龙总,这会不会有问题呀?可万一是真的税务核查,耽误了也麻烦。”龙傲天思索片刻,想着以往税务部门偶尔也会线上通知事宜,被紧张情绪裹挟,咬咬牙说:“先下载看看,要是真有问题咱抓紧处理。”

邮件安全闲聊@3、税务稽查主题钓鱼分析

鼠标轻点,链接跳转,下载进度条缓缓推进,办公室里安静得只剩电脑主机轻微的运转声。此刻,在城市边缘一处废弃工厂改装的“秘密据点”里,一群身形隐匿在兜帽与黑暗中的黑客正紧盯屏幕,屏幕上不断闪烁着像龙傲天公司这样上钩者的IP地址与设备信息,嘴角露出狡黠冷笑,他们便是近来在暗网中声名狼藉的“银狐”,惯于利用人们对官方事务的敬畏心理,设下这类“钓鱼陷阱”。

邮件安全闲聊@3、税务稽查主题钓鱼分析

待龙傲天公司电脑完成下载并自动执行安装程序,起初一切仿若正常。可没过半小时,公司内部网络瞬间瘫痪,财务系统数据疯狂闪烁、扭曲,机密账目信息似脱缰野马般流向未知暗处,办公电脑纷纷蓝屏死机,员工们一阵惊呼,整个公司乱作一团。

邮件安全闲聊@3、税务稽查主题钓鱼分析

在焦虑与慌乱中踱步片刻后,龙傲天脑海里突然闪过一个人——小王,一位在网络安全领域深耕多年的老友,两人相识于大学时代的编程社团,多年来虽各自忙碌,可情谊深厚,每逢行业聚会还能把酒言欢、畅聊技术前沿。

邮件安全闲聊@3、税务稽查主题钓鱼分析

龙傲天赶忙拨通小王的电话,声音带着几分焦急:“兄弟,我这儿出大乱子了,公司电脑跟疯了似的,像是被黑客盯上了,你快帮我瞅瞅咋回事!”小王二话不说,通过远程协助接入公司系统,屏幕那头的他眉头紧锁,十指如飞般操作着各种检测工具,一行行复杂代码与数据在眼前滚动。随着分析深入,小王的脸色愈发凝重,许久后,他长叹一声说道:“老薛,你们这是中了“银狐木马”的招了,这玩意儿可刁钻得很,专搞钓鱼攻击。黑客应该是精心炮制了一批看着特靠谱的邮件,伪装成行业展会邀请函、热门软件更新通知啥的,里面藏着能悄悄下载木马的链接,只要有人手滑一点,它就神不知鬼不觉潜入,把你们的系统搅得天翻地覆,窃取机密信息那是分分钟的事儿。”

得知病因,龙傲天心里更慌了:“兄弟,那现在咋整啊,公司这么多项目资料、客户数据,可不能就这么毁了!”小王立刻给出应对方案:“当务之急,第一时间把所有涉事机器断网,让木马断了和外界的联系,不能再让它往外传数据或者接收黑客的破坏指令了;紧接着,组织人手把重要资料,像项目策划书、代码库、客户联系表这些,统统备份到移动硬盘或者云端存储,确保数据安全。等这两步做完,马上重装系统,把木马连根拔掉,这才能让电脑恢复干净。”

邮件安全闲聊@3、税务稽查主题钓鱼分析

龙傲天依照小王所言,迅速召集同事分工行动。技术人员负责断网、操作备份流程。一番争分夺秒的忙碌后,系统重装完毕,电脑重启,熟悉而平稳的开机界面出现,办公室里压抑许久的氛围终于缓和了些许。

小王在视频通话里郑重提醒道:“老薛,这次算是侥幸过关,可网络攻击的风险以后还多着呢。要想长治久安,得定期搞钓鱼演练,模拟各种黑客钓鱼手段,把员工的防范意识提上去,比如时不时发个伪装成内部福利通知、合作方紧急需求的假邮件,看看谁会上钩,之后再集中培训,让大家熟悉各类陷阱套路,这样才能在源头上挡住黑客的‘暗箭’。”

样本分析

文件名

Setup.rar

Sha256

4d4e1757ce0b40782c5172543dd2889034b307fb48dbd8bb1e5435e020703f22

Md5

75ff073c02a182a92dc974626773f29c

文件类型

rar

文件大小

23.86MB

事后小王拿到木马进行深入分析木马执行后释放7ze.exe文件解压Googel.7z

C:Windowssystem32cmd.exe /c C:WindowsSysWOW64msresSetup.bat

执行“Setup.exe /Serv”命令创建服务

执行命令“Setup.exe /InstallC”,通过cacls修改系统文件权限

cacls c:windowssyswow64msreslog /G system:f everyone:f

cacls c:windowssyswow64msreslogOutFile /G system:f everyone:f

cacls c:windowssyswow64msreslogOutFileFile /G system:f everyone:f

cacls c:Program FilesCommon Filesytcommon /G system:f everyone:f

cacls c:windowssyswow64msres /G system:f everyone:f

并且木马运行,服务进程回连远程地址

206.238.220.75:6679

206.238.220.75:6671

206.238.220.75:6681

还存在持久化操作,会创建服务“MANC”,文件路径:C:Windowssystem32MANC.exe。让计算机重启后木马病毒还能持续运行

安装winpcap

创建可执行文件

%Temp%*randomPath*7ze.exe

%Temp%*randomPath*Windowssedisk.sys

%Temp%*randomPath*WindowsSysWOW64MANC.exe

%Temp%*randomPath*WindowsSysWOW64MsgTrack.dll

%Temp%*randomPath*WindowsSysWOW64msres7z.dll

%Temp%*randomPath*WindowsSysWOW64msres7z.exe

%Temp%*randomPath*WindowsSysWOW64msres7zSD.sfx

%Temp%*randomPath*WindowsSysWOW64msres8021xClient.dll

%Temp%*randomPath*WindowsSysWOW64msresAdoBase.dll

%Temp%*randomPath*WindowsSysWOW64msresAnsiDLL.dll

%Temp%*randomPath*WindowsSysWOW64msresAssistantThC.dll

%Temp%*randomPath*WindowsSysWOW64msresAuditorViewWaitList.exe

%Temp%*randomPath*WindowsSysWOW64msresavcodec-57.dll

%Temp%*randomPath*WindowsSysWOW64msresavdevice-57.dll

%Temp%*randomPath*WindowsSysWOW64msresavfilter-6.dll

%Temp%*randomPath*WindowsSysWOW64msresavformat-57.dll

%Temp%*randomPath*WindowsSysWOW64msresClientTool.exe

%Temp%*randomPath*WindowsSysWOW64msresEncryptGUI.exe

%Temp%*randomPath*WindowsSysWOW64msresFSHost32.exe

%Temp%*randomPath*WindowsSysWOW64msresFSHost64.exe

%Temp%*randomPath*WindowsSysWOW64msresGenEwm.exe

%Temp%*randomPath*WindowsSysWOW64msresimagex.exe

%Temp%*randomPath*WindowsSysWOW64msresnetft.sys

%Temp%*randomPath*WindowsSysWOW64msresnetftxp.sys

%Temp%*randomPath*WindowsSysWOW64msresprotectfadisk.sys

%Temp%*randomPath*WindowsSysWOW64msresprotectfadisk_x64.sys

%Temp%*randomPath*WindowsSysWOW64msresprotectFASTMNT.sys

%Temp%*randomPath*WindowsSysWOW64msresprotectFASTMNT_x64.sys

%Temp%*randomPath*WindowsSysWOW64msressedisk.sys

%Temp%*randomPath*WindowsSysWOW64msressgfp.sys

%Temp%*randomPath*WindowsSysWOW64msresvfsd_fre_win10_AMD64.Sys

处置建议

1、建议对IOC列表进行封禁

2、对系统关键证据进行提取,并重装系统

IOC

URL:

https://swzjxt.com/file/2

206.238.220.75:6679

206.238.220.75:6671

206.238.220.75:6681

IP:

103.193.151.218

Sha256:

4d4e1757ce0b40782c5172543dd2889034b307fb48dbd8bb1e5435e020703f22

PDNS:

2024/10/12

www.shuiwuzc.com

2024/10/10

shuiwuzc.com

2024/10/10

www.swzjxt.com

2024/10/6

dzfpxz.com

2024/10/6

www.dzfpxz.com

2024/10/6

swzjxt.com

2024/9/20

jcc12366.com

2024/9/20

zjcxgov.com

2024/9/20

swza12366.com

2024/9/20

cxc12366.com

2024/9/7

swccxz.com

2024/9/7

swjczc.com

2024/9/7

texsas.info

2024/9/7

zzwzg.com

2018/1/9

1.dongwan121.cn

2017/8/27

www.sctvm.com

2016/3/15

xingcai00.com

原文始发于微信公众号(无限手套Infinity Gauntlet):邮件安全闲聊@3、税务稽查主题钓鱼分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月25日16:52:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   邮件安全闲聊@3、税务稽查主题钓鱼分析http://cn-sec.com/archives/3434489.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息