一、事件概述
近期,安恒信息猎影实验室观测到多起由“银狐”威胁体发起的钓鱼攻击活动。该木马主要通过仿冒网站的SEO投毒和钓鱼邮件进行传播。一旦用户中招,攻击者会在受害主机上植入ValleyRAT、HackBrian RAT、Winos等远控木马,并劫持用户正在运行的微信、钉钉等社交或办公软件,冒用受害者身份向联系人散布虚假的“退税”、“补贴”等诱饵链接。点击者如信以为真填写银行卡信息,其存款最终将被攻击者通过POS机盗刷。
本文将对近期活跃的“银狐”威胁体攻击链条进行详细剖析与披露。若您或身边人员发现类似可疑活动,请务必高度警惕,谨防财产损失!
二、银狐攻击活动分析
本次银狐威胁体攻击活动链路大致如图:
攻击流程可大致分为三个阶段,分别是:木马投放阶段、木马加载阶段和信息收集阶段。
1
木马投放阶段
木马投放阶段主要通过两种方式,第一种为SEO投毒,攻击者通过购买某个软件的搜索引擎排名(常见为WPS、钉钉、向日葵等),当用户想要下载相应软件时,往往会因其排名靠前而点击进入攻击者构造的钓鱼网站。
另一种投放方式为发送包含恶意文件或恶意链接的电子邮件,安全意识薄弱的人员往往会信以为真,并点击邮件中的恶意链接或文件。
邮件中的恶意文件经常通过替换文档图标、双扩展名等方式迷惑用户。
2
木马加载阶段
木马加载阶段主要任务为绕过安全监测,成功将远控木马执行。银狐威胁体通常采用以下几种方式加载远控木马:
白利用与内存加载技术 |
伪装合法程序 |
运行具有合法代码签名的文件,这些白程序本身无害,但会加载同目录下的恶意加密文件,后者在内存中解密为恶意DLL并执行。 |
无落地文件 |
通过向云服务请求获取加密的木马文件,接收数据直接加载到内存执行 |
|
进程注入与伪装技术 |
进程shellcode注入 |
将shellcode写入内存后,通过创建线程或直接调用的方式执行恶意代码。 |
反射dll注入 |
将dll文件和加载dll所需的代码写入进程,运行加载代码从而执行恶意代码。 |
|
APC注入 |
将目标DLL路径或自定义代码写入目标进程内存,为目标线程分配APC队列项,当目标线程进入可警告状态时执行注入的代码。 |
|
滥用系统机制绕过安全防护 |
提升权限 |
通过系统或软件漏洞绕或UAC提升自身权限 |
结束安全软件 |
遍历主机进程,如果进程名出现在预设的杀毒软件名单中,则结束进程。 |
近期银狐威胁体使用的最为常见的远控木马为ValleyRAT,也称HackBrian RAT,该远控软件运行时会解密出配置信息,目前观察到的解密方式包括反转字符串和base64编码。
ValleyRAT运行具有以下功能:
命令代码 |
功能描述 |
0x00 |
加载插件 |
0x01 |
加载插件并将其写入注册表项 HKCUConsole1{客户端 MD5 ID} |
0x02 |
关闭与C2服务器的连接 |
0x03 |
获取当前活动窗口的标题和用户屏幕的截图 |
0x04 |
屏幕截图 |
0x05 |
写入并执行文件 |
0x06 |
从URL下载并执行文件 |
0x07 |
更新注册表 |
0x08 |
查找具有特定可执行文件名的进程 |
0x09 |
向C2服务器返回硬编码字节 0x13 |
0x0a |
发送用户屏幕上特定区域的截图 |
0x0b |
清除应用程序、安全和系统事件日志 |
0x0c |
重启恶意软件进程 |
0x0d |
终止恶意软件进程 |
0x0e |
强制注销系统 |
0x0f |
强制重启系统 |
0x10 |
强制关闭系统 |
0x11 |
更新加载插件 |
0x12 |
更新当前配置并将其写入 HKCUConsoleIpDate |
0xc9 |
与命令0x03相同,但截图的发送取决于命令参数中指定的标志 |
0xca |
禁止系统自动进入睡眠状态 |
3
信息收集阶段
在成功获取受害主机控制权限后,攻击者将在系统中操作微信、钉钉或邮箱等通信软件,以受害者的身份在受害者的社交圈进一步钓鱼,常见的一种方式是在群组中传播恶意软件或链接。
点击链接看到攻击者伪造的政府公文和二维码。
扫码后将进入攻击者伪造的填写个人信息界面,这一过程将引导受害者填写姓名、身份证、手机号、银行卡号及密码、短信验证码等敏感信息。
攻击者将通过这些信息绑定Apple Pay,并通过POS机刷走银行卡余额。
三、活动总结
银狐威胁体展现了一条完整的、极具欺骗性的网络犯罪链条。它的危害不仅在于其技术手段的隐蔽性,更在于它对我们信任的日常工具和人际关系的恶意利用。
这提醒我们:面对网上突如其来的“好事”,尤其是熟人发来的涉及金钱操作的链接,务必保持高度警惕,多方核实(如直接电话联系对方或官方渠道确认);同时,坚持安装并及时更新可靠的安全软件,修补系统漏洞,不随意点击不明链接或打开可疑邮件附件,是守护个人财产和信息安全最基本、也最有效的防线。
防范建议
安恒信息产品和服务能够对此类恶意攻击在多环节、全链路进行检测和防御。
产品或服务 |
检测环节 |
简介 |
安恒恒脑-恶意邮件研判智能体 |
全链路 |
安恒恒脑-恶意邮件研判智能体依托恒脑安全垂域大模型能力,可对邮件内容进行语义理解和意图识别,结合二维码识别、附件研判、图片OCR等处理模块,实现了对钓鱼邮件、泄密邮件等多种异常邮件的有效判别,并给出异常点解读,可有效提高异常邮件识别的准确率,降低安全风险。 钓鱼邮件检测示例: |
明御APT攻击预警平台 |
流量测 |
明御APT攻击预警平台是流量威胁检测、恶意文件检测、分析溯源、联动响应于一体的高级威胁预警系统,基于丰富的特征库、全面的检测策略、精准的深度分析模型等规则检测,结合智能机器学习、动态沙箱、语义分析及威胁情报等高级威胁检测技术,能实时发现用户网络中的各种已知威胁和未知威胁,支持包含各类恶意代码攻击、远程控制、WEB攻击、邮件攻击、漏洞利用、隧道通信等在内的多种攻击类型检测。 银狐检测示例: |
安恒终端安全管理系统(办公智盾) |
终端测 |
办公智盾提出新一代的终端一体化安全防护理念和解决方案,超越传统思维,从单一终端安全,变成人员、终端、网络、应用、数据全方位一体化安全。办公智盾基于模块化设计理念,集多种安全模块于一体,融合了准入、零信任、防病毒、数据防泄漏、数字水印、文件加密、主机审计、桌面管理等十多种业务,全面兼容Windows、Linux、MacOS、UOS、麒麟等主流操作系统,一个平台,一个终端,统一管理。满足用户核心应用景,包括远程接入场景、威胁入侵防护场景、商业秘密保护场景、桌面管控场景。 银狐检测示例: |
XDR安全大脑(AXDR) |
全链路 |
安恒信息XDR安全大脑,又名:AiLPHA 高级威胁检测与分析系统(AXDR),聚焦终端侧和网络侧主动威胁检测和精准防护,依托强大的AI告警研判与精准事件分析能力,能够深度还原攻击链路,以安全场景为驱动,实现快速的响应处置,真正做到 “场景驱动、开箱即用、精准分析、极简运营”,助力政企数字化安全健康发展。XDR通过关联网络、终端的告警和日志,实现银狐木马攻击链路的可视化,精准溯源恶意进程,达到快速的响应和处置。 安全事件攻击链路分析示例: |
安恒威胁情报数据 |
全链路 |
安恒威胁情报具备超过10亿条入侵检测IP情报的实时监测能力、300万条失陷检测情报的精准识别能力、10亿条文件hash样本的恶意代码检测能力,以及5000万条恶意URL的风险识别能力,具备完整的威胁分析字段和阻断等级判定能力。在漏洞预警方面,拥有35万条漏洞数据的风险发现、分析与预警能力,能够从可利用性、影响程度等维度进行应急响应级别划分。威胁组织画像能力覆盖600多种组织及3000+恶意家族的TTP攻击矩阵分析,具备攻击技术识别和关联分析能力。 银狐情报示例: |
此外用户可通过云沙盒:https://sandbox.dbappsecurity.com.cn/ 对可疑文件进行威胁研判并下载分析报告。或用沙箱打开不明来源的未知文件,在虚拟环境中进行内容预览,免于主机失陷、受到木马或病毒文件攻击。
也可在安恒星图平台:https://starmap.dbappsecurity.com.cn/ 进行情报查询和分析。
IOC
https://duqingmei@eoevuchjymbbj[.]cn/?btg.com.cn
https://riedv[.]cn/vip.jpg
https://molifm[.]cn?20250527326626.zip
https://chzkzhm[.]cn?2025055410423.zip
cce4cb4e41b01e309d22f10ecc29f607
103.12.149[.]123
38.49.40[.]130
原文始发于微信公众号(网络安全研究宅基地):“熟人”发来的退税链接?小心“银狐”盗刷陷阱
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论