【炒冷饭】专门针对我国的 apt 组织:银狐

admin 2025年1月17日19:10:08评论21 views字数 5072阅读16分54秒阅读模式

攻击概述

我们的研究团队发现了一系列针对中文地区的攻击。这些攻击使用了一个多阶段加载器——我们将其命名为 PNGPlug——来投放 ValleyRAT 恶意程序。

火绒安全发布过类似的攻击链(https://bbs.kanxue.com/thread-284691.htm),揭示了感染途径和恶意文件的投放方式。

根据报告,攻击始于一个钓鱼网页,诱导受害者下载伪装成正常软件的恶意 MSI(Microsoft Installer)安装包。

执行后,安装程序会执行两个关键任务:

  1. 部署一个良性应用程序以维持合法性表象
  2. 提取包含恶意程序的加密压缩包

MSI 安装包利用 Windows Installer 的 CustomAction 功能执行恶意代码,包括运行一个内嵌的恶意 DLL,该 DLL 使用硬编码密码 hello202411 解密压缩包(all.zip)以提取核心恶意组件:

  • **libcef.dll**:这个加载器通过垃圾代码将文件大小膨胀到 220MB,以此规避检测,因为许多安全工具会跳过分析大文件。
  • **down.exe**:用于掩饰恶意活动的合法应用程序
  • **aut.pngview.png**:伪装成 PNG 图片的编码恶意载荷文件

PNGPlug 加载器的作用

加载器(libcef.dll)的主要功能是通过以下步骤为恶意程序执行准备环境:

  1. **修补 ntdll.dll**:启用内存注入功能
  2. 命令行参数解析
    • 如果存在 /aut 参数,加载器会使用异或加密解密注册表路径 Software\DICKEXEPATH,并将 down.exe 的路径写入注册表(HKEY_CURRENT_USERSoftwareDICKEXEPATH)。随后,加载器使用 pe_to_shellcode 注入方法将 aut.png 的内容注入内存。(关于这个注入载荷的更多信息,请参考火绒的报告。)
    • 如果没有 /aut 参数,加载器会带参数运行 down.exe 并继续检查
  3. 反病毒检测:加载器通过检查路径 C:Program Files (x86)xxxxxxSafeuninst.exe 来判断是否安装了 xx 安全卫士。如果没有检测到,加载器会将 view.png 映射到内存中并创建新进程(colorcpl.exe),将 view.png 的内容注入其中。在调查过程中发现,该进程正在执行 ValleyRAT 恶意程序。

使用 .png 文件扩展名来隐藏恶意载荷是一个关键的隐匿策略,这也是我们将其命名为 PNGPlug 的原因。如下图所示,这些 PNG 文件在特定偏移处包含额外数据——具体是 PE 可执行文件。这些数据会按照前述方式被加载并注入到进程中,进一步增强了恶意程序躲避检测的能力。

【炒冷饭】专门针对我国的 apt 组织:银狐
PNG 文件中嵌入的 PE 可执行文件
【炒冷饭】专门针对我国的 apt 组织:银狐
PNG 文件在特定偏移处嵌入的 PE 可执行文件

ValleyRAT 详情

ValleyRAT 是一个复杂的多阶段恶意程序,归属于 银狐 apt 组织。它采用了多种高级技术,包括:

  • Shellcode 执行:直接在内存中运行组件以减少文件痕迹并规避检测
  • 混淆和权限提升:隐藏恶意活动并获取更高权限
  • 持久化机制:利用计划任务和注册表修改来维持对被感染系统的控制

该恶意程序的各个阶段包括初始执行、部署混淆的 shellcode,以及从命令控制(C2)服务器获取额外恶意组件的加载器模块。

归属分析

证据表明这次行动与 银狐 APT 有关,该组织以针对中文用户和组织的间谍活动和网络犯罪而闻名。他们的战术包括:

  • 钓鱼技术:使用木马化文件和 SEO 优化的钓鱼网站
  • 间谍工具:部署 ValleyRAT 和 Gh0st RAT 等恶意程序来监控用户活动、投放插件,并可能安装额外的载荷

基于受害者特征、感染途径和观察到的载荷,我们高度确信这次行动可归属于银狐。他们的活动凸显了采取强有力的网络安全措施来应对复杂攻击者不断演进的威胁的必要性。

有趣的发现

这些攻击反映出这些组织存在潜在的运营漏洞——特别是一些大型企业在员工工具方面投入不足。这种疏忽经常迫使员工依赖免费软件,无意中增加了他们遭受恶意攻击的风险。

同样引人注目的是攻击者巧妙地利用正常软件作为恶意程序的投放工具——将恶意活动与看似无害的应用程序完美融合。PNGPlug 加载器的适应性进一步提升了威胁等级,其模块化设计使其能够适用于多个攻击行动。这种灵活性凸显了威胁形势的不断演变,强调了开发先进的检测和预防机制以应对这些隐蔽且持续的攻击的紧迫性。

威胁指标

156.247.33[.]53

与该 IP 相关的恶意 MSI 文件:

  • 08dad42da5aba6ef48fca27c783f78f06ab9ea7a933420e4b6b21e12e550dd7d
  • 33bc111238a0c6f10f6fe3288b5d4efe246c20efd8d85b4fe88f7d602d70738e
  • 50a64e97c6a5417023f3561f33291b448ce830a4d99c40356af67301c8fa7523
  • 6d4dd4334791c91bb09e7a91dd5c450b2c6e3348a5586de011c54ce3f473f619
  • 76fc76dc651c3cc9d766a6ad8a90f605326463bc4cb2f8f053d44dfbc913beee
  • ad23f5c9bab137dc24343fc410f7587885aab6772dee5e75a216ed579c6ee420
  • c497506fe2df57c39fcf92398f4864ca4bfcb1a6f2f80c3c520166bc61882855
  • E49b085f5484531395b5a7903f004b2a02a2b4ebfa46116d1a665ba881b1f528
  • c636120749b49f47fc8d42409ead6c51ea44bc40c815370997ca63f48acdf002
  • 79acdca5247ca9719f2f3a34c7942cd60b209f7b616efa5dd81e6656a8baf9a5
  • 70facc8ad5db172e235b4cc720a0edaedd4470b8a6ec5da8dee2758f4a1aafef
  • e9e4751c88d3a1a4bfdd5d07bb35636787b0d6fbf68b17642d3fe03cbe5ebf70
  • de8a0da702a491f610b9e85050d8641cadf4ed84edf4d151f94335b0d78d6636
  • 6d2a4d9e2fc6e4dac2c426851b4bdf86dd63a5515d8d853e622a0bc01d250ce9
  • 4a68bdfa3e31a8c063bbf94469160eb7998a556027d5ad33f37c347a71c2d3a4
  • 7c31c4d0308fb1d67f6af48a76138a9db19f494c1e9a12debdcca7382ad5418c
  • 5f9a5ad43a9f79976cd7014ce072429ef2edbae872b4226372cfb07d8a86b8a5
  • 3ac3ca18142a935608cb0d2c8d6421ebb9abc30bce93f094447b9c3f63fe791b
  • 9d97f3f55bc647911e14a36c83f263e91662cf9d13a2fc3ec7c92dedb8977d37
  • c070749f95aeeefcd1c3a875c1b8e77b57cad0c8338436af9a3c9e1323fd4e11
  • 7eaed6fa867875119c3ebb40aa24716d91fdbccb2106fa4708ff0637920a920c
  • fa26722e99763a29af160fae64183a47a57362b666753624b78e954c8cde0525
  • 9aa51d1c82fdbc8f0f27340180bd40faa7e76b8ac6d204b2d3548cfd0897d805
  • 58416315c61ed5cb2c754244ed5c081963dabf3e698b04226a00f978cd913e84
  • f2f96e5ac1b4bd6cac49c71ca2010dcbe5751757483520cfc7dddf4fb7186044

45.195.148[.]107

与 PNG 相关的文件(9aea0fdfead2e956bc0b4574c2b4cb2855dd9df6a5fd61d350f3285d249adfca):

  • 46af73560cafff5c8bbc16980d01641af0de3b689bc248dfb52afcf3a8a76a55
  • 7bff2404c2816c4e1576d449820f01e3f46e7c972beb1843e3b8da2e065f8dc3
  • 94ff4679dd5aec7874354c14132701ecdfbbb558c6011e4952d13bf843255529
  • Ae6d88ea99e530f778ee6088862b50dfb6e8bb45857211e9105428c57c2a7b4a

加载器的第一阶段:

  • c5d5054047a12efc68a67abd8f15069a853dd09800cd39d68df5a27702b45334
  • a97371df7d51fe0aee1d54b5b233a1713f69224802b1da35337a3041788990e6
  • 4b6bf40dc331c89e416ef012a6dc4f55c83136197be7115246b42e4f7a828baa
  • 30147b6691e5bc1a15c76cebf81b2de77d9099e8200b6ed9742c6e3b36505f34
  • 9bd53057c8905d508374698e2595301f0be1529ec4ebfa71c09ad0c01a562982
  • 4d64c2d1ae0de0f3066a6c020ab7aa5a9dd487c0cf1ff1ca2e93d98ff30e039f
  • 99fb7a40dbf6a042bcb77f67a5a76fe03ec3c6820ac5e15cb009795d545152ea
  • d9e939f904a1cddf5fb8ffba14acbfe227ed5dfc4990b52a44d4dfd0baa6de4e
  • 0b33f08bc2917c4825c053754fc88e16b35d1a8fff4135595b265a4c6f850250
  • cd347b9f558cf024df1dbb62ed7a0d72a2edc04b1330058cfa1baf4fc3894e03
  • 8aa28f35dbafc18a37b07fd15bb599e3c8de5b692117f1c6fd491bd03028a423
  • d51db234d0236cd0dbfcf13adc33387f10920011537815d188eff012872e30be
  • d0ce85ec31053478c67e4f53ca2ef9b7b1f0fda74621c9c7c8c1612772ca778c
  • 504d7714419931f80b734e212a9431ec98887c56ade8966c4d7cae58b28d49ca
  • 16bb3968e1112b63fef8a4e7bda9d021dfef6fd1955fdfa677545535a14a65b4
  • 659ede632d3bfc28d143c144fdba34d08b21c4f97ce6c9dc1fcd4d2bf5cc25e3
  • 463c9704fb009cd13e0ef50fa7d5035aa5f35b4841fe75ecab5c4a276601f837
  • 3fc35cab1272f769af309cb46375e21680f13d629181c7646cb0cf2c9b2e72e7
  • 517b43bf057877727387316d8538dc07599856eb428d43f512e89964a5dfb331
  • e54ce9939679c691dc5719e309a8d541183b6672269fd61013109ef0d8509b1e

原文始发于微信公众号(独眼情报):【炒冷饭】专门针对我国的 apt 组织:银狐

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月17日19:10:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【炒冷饭】专门针对我国的 apt 组织:银狐https://cn-sec.com/archives/3639301.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息