银狐木马开启围猎_东南亚诸国沦为猎场
围猎东南亚由于近期一些东南亚国家进入一年一度的报税、薪资审查时段,银狐木马组织便发送有针对性的鱼叉网络钓鱼邮件进行攻击。银狐木马组织利用与财务相关的诱饵文件,诱使收件人打开恶意链接或文件。由于邮件主题通常涉及财税、薪资调整等关键词,不少公司职员放松警惕,进而在不明所以的情况下打开邮件附件中的恶意文件或邮件文本中的恶意链接。
从我们捕获到的具体案例来看,邮件附件中的恶意文件带有如下数字签名:
SyncFutureTec Company Limited
该软件是南京某科技公司开发的商业软件产品,属于合法的正规远程控制类软件,但遭到了银狐木马组织的恶意利用。一旦用户被诱导执行了恶意软件,用户机器就会被远程控制,最终导致受害用户的敏感数据被窃取、用户活动被监控。更有甚者,受害设备可能被进一步作为跳板,发起对其所在公司网络的攻击,致使攻击的威胁范围进一步扩大。
木马分析
分析我们捕获到的攻击事件,发现受害用户会收到一份钓鱼邮件。邮件附件的压缩包名称为“Tax Assessment Letter.zip”,压缩包中其实是一个被恶意利用的远控工具。
图1. 附件压缩包的文件信息
该远控工具的签名是“SyncFutureTec Company Limited”,工具安装包若以特定的命名方式命名,则可在安装过程中自动配置其安装完成后的远程C2地址。命名格式为
Clientsetup.exe
其中的字符串就是用来充当C2地址的。攻击者利用合法远控工具中配置处理程序的错误配置,直接通过文件名传递C2参数,从而避免了因修改文件导致签名失效的问题。而由于该软件带有我国南京某科技公司的合法签名,导致部分安全公司会对该软件直接信任并放行。
图2. 被利用的远程控制软件带有合法数字签名
该软件是终端安全管理平台,具备远程监控和管理功能,旨在让管理员能够完全控制终端设备。此外,它还包含远程协助功能,使管理员能够同时远程控制多台计算机,支持双屏远程会话并提供高速远程桌面访问。通过对合法企业安全产品的利用,攻击者获得了一个功能强大的一体化框架,可用于长期的间谍活动。它不仅为攻击者提供了窃取数据的工具,还为他们提供了对受损环境的精细控制、实时监控用户活动以及确保自身持久性的工具。
该软件安装后会在以下文件夹释放所需文件:
C:\Windows\SysWOW64\msres
而该msres文件夹被设置为只读和系统隐藏属性。
图3. 用于部署远控工具的msres文件夹内容
配置文件YTSysConfig.ytf中包含上线远控IP。
图4. 配置文件YTSysConfig.ytf中的配置IP
该软件还在C:\log文件夹下创建了大量的日志文件,日志文件揭示了服务启动事件、驱动程序加载操作和详细的执行跟踪等信息。
图5. log文件夹内的日志文件
安全防护与建议
如果用户不幸遭受本轮银狐攻击中的远控木马感染,可以前往360官网下载并安装360安全卫士进行全盘扫描。360安全卫士会自动检出恶意软件,用户只需根据安全扫描结果进行清理修复,最终重启设备便可解决问题。
图6. 使用360安全卫士对恶意程序进行清理修复
如果在木马攻击前用户已安装360终端安全产品,则不必太过担心,360安全大脑可对此类木马进行有效拦截和查杀。
图7. 360安全大脑拦截并查杀本轮银狐木马样本
基于银狐木马的安全威胁与特性,我们对广大用户提出如下安全建议:
l 安装并确保开启安全软件,以保证其对本机的安全防护。
l 对于安全软件报毒的程序,不要轻易添加信任,也不要轻易退出安全软件。
l 下载软件、文件时,注意识别下载地址,谨防钓鱼页面,推荐使用带有防钓鱼功能的360安全浏览器。
l 如果曾经运行过此类木马,或者怀疑设备已经中招,可以尽快使用360终端安全产品进行检测查杀。
IOCs
MD5
6a3b5fed4383a2e54d70b4a01c44ba01
2fa3c38b3c658339dee9f7986ef60532
e79e7e4df6a7f591457e319737a35155
C2
45.119.55.66
112.121.183.102
93.127.142.77
页:
[1]