HackerNews 编译,转载请注明出处:
绰号为银狐的威胁行为者将攻击目标转向印度,在钓鱼攻击活动中利用个人所得税相关诱饵,分发一款名为谷鼠远程控制木马(又名 “温诺斯 4.0”)的模块化远程控制木马。
CloudSEK研究员普拉杰沃尔・阿瓦斯 thi 与库希克・帕尔在上周发布的分析报告中指出:“此次精密攻击采用了包含动态链接库劫持与模块化谷鼠远程控制木马在内的复杂攻击链,以此确保恶意程序能够长期驻留目标设备。”
银狐黑客组织另有 “游蛇”“山谷大盗”“UTG-Q-1000”“虚空蜘蛛” 等多个追踪代号,该组织是一个源自中国的激进网络犯罪团伙,自 2022 年起便持续活跃。
该组织实施的攻击活动类型多样,动机涵盖间谍活动、情报搜集、经济牟利、虚拟货币挖矿以及业务运营干扰等多个方面,是少数采用多元化攻击手段开展入侵行动的黑客团伙之一。
银狐的攻击目标最初以中文用户及相关机构为主,如今已拓展至公共、金融、医疗、科技等多个行业的机构。该组织主要借助搜索引擎优化投毒与钓鱼攻击两种方式,投放谷鼠远程控制木马、幽灵变种木马、牵手木马(又名 “幽灵文件木马”)等多款幽灵远程控制木马变种。
云安科梳理的攻击感染链条显示,攻击者会发送伪装成印度所得税部门的钓鱼邮件,邮件附件为诱饵 PDF 文件。用户一旦打开该 PDF,就会被引导至 “ggwk [.] cc” 恶意域名,进而下载一个名为 “税务事宜.zip” 的压缩包。
该压缩包内包含一个同名的 Nullsoft 脚本安装程序(“税务事宜.exe”),该程序会借助迅雷公司开发的 Windows 下载管理器 “迅雷.exe” 这一合法可执行文件,以及一个被恶意植入的动态链接库文件 “libexpat.dll” 实现加载运行。
这款恶意动态链接库文件会先执行多种反分析与反沙箱检测操作,确保恶意软件能在受感染主机上不受阻碍地运行,随后会关闭 Windows 更新服务,并充当 “甜甜圈加载器” 的载体,最终将谷鼠远程控制木马的最终有效载荷注入被掏空的 “资源管理器.exe” 进程中。
谷鼠远程控制木马可与外部控制服务器建立通信并等待后续指令,其采用插件化架构,能够灵活扩展功能,支持攻击者实施键盘记录、凭据窃取以及防御规避等操作。
云安科表示:“常驻于注册表的插件与延迟信标机制,使这款远程控制木马在设备重启后仍能存活,同时保持较低的隐蔽性特征。按需模块投递功能则允许攻击者根据受害者的身份与价值,开展针对性的凭据窃取与监视活动。”
与此同时,英国国家计算机应急响应小组指出,他们发现了银狐黑客组织用于追踪恶意安装程序下载活动的暴露链接管理面板(“ssl3 [.] space”)。该面板针对多款常用软件(包括微软团队办公软件)的恶意安装程序进行下载量统计,具体包含以下信息:
- 托管后门安装程序的恶意网页
- 钓鱼网站下载按钮的日点击量
- 下载按钮自上线以来的累计点击量
调查发现,银狐搭建的虚假网站仿冒了云聊、飞连 VPN、微软团队、开源 VPN、切切、三条、信号、西瓜视频、截图工具、搜狗、电报、远程桌面工具、金山办公、有道云笔记等多款知名应用。对下载链接来源 IP 地址的分析显示,至少有 217 次点击来自中国,其次为美国(39 次)、中国香港(29 次)、中国台湾(11 次)以及澳大利亚(7 次)。
该机构研究员狄龙・阿什莫尔与阿舍・格鲁表示:“银狐借助搜索引擎优化投毒手段,分发了至少 20 款常用应用的后门安装程序,涵盖通讯工具、虚拟专用网络以及办公生产力软件等类别。这些恶意程序主要针对中国境内的中文用户及机构,攻击最早可追溯至 2025 年 7 月,同时在亚太、欧洲、北美等地区也造成了额外的受害案例。”
通过这些虚假网站分发的压缩包内,包含一个基于 Nullsoft 脚本的安装程序。该程序会将微软防御杀毒软件加入排除列表,通过计划任务实现恶意程序持久化,随后连接远程服务器获取谷鼠远程控制木马的有效载荷。
值得注意的是,瑞利奎斯特公司近期发布的一份报告指出,银狐黑客组织在针对中国境内机构发起攻击时,曾仿冒俄罗斯威胁行为者的攻击特征,并使用与微软团队相关的钓鱼诱饵网站,试图混淆攻击溯源方向。
英国国家计算机应急响应小组强调:“该管理面板的数据显示,来自中国内地的点击量达数百次,且受害者遍布亚太、欧洲、北美等多个地区,这印证了此次攻击活动的波及范围之广,以及其针对中文用户的精准战略定位。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文