安信与诚—威胁月报（12月份）

目录

一、 警惕APT-C-01（毒云藤）组织的钓鱼攻击

二、“银狐”攻击事件频发，幕后黑产组织UTG-Q-1000起底

一、警惕APT-C-01（毒云藤）组织的钓鱼攻击

1.1.概述

APT-C-01（毒云藤），是一个专门针对国防、政府、科技和教育等领域进行持续网络攻击的APT组织，活动已持续多年，起源可追溯至2007年。该组织惯用钓鱼攻击，包括水坑钓鱼、鱼叉式钓鱼，这些攻击手法往往针对特定目标，利用个性化的诱饵内容，以提高成功率。

近期我们在日常威胁狩猎中观察到该组织持续活动，其模仿官方网站制作钓鱼网页进行定向钓鱼，当受害者访问这类网站时会自动下恶意载荷，该载荷会进一步加载Sliver RAT进行窃密和远程控制行动。鉴于此，我们披露整个攻击流程，以便用户及时发现，避免中招。

1.2.活动分析

1.攻击流程分析

毒云藤组织擅于模仿官方网站精心制作钓鱼页面，当目标群体打开这类网站时，会自动下载恶意载荷，该载荷是一个由C#编写的加载器，执行时会下载数据文件并进行解密出Shellcode再加载，Shellcode加载最终的Sliver RAT。整个流程如下图所示：

2.恶意载荷分析

我们捕获了多个恶意加载器样本，这些加载器都使用PDF图标来伪装以此迷惑受害者，以其中一个进行分析，如下所示。

该样本是一个.net编译的PE文件，并且经过强混淆。

进行去混淆后效果如下所示：

其执行时，先解密初始化下载URL（https://158.247.208.174:443/mp4/ads.mp4）和AES解密所需要的KEY（LgUmeMnmUpRrCCRB）和IV（nStxRW4o6TNHcKBx），接着从服务器下载数据文件，并对数据文件进行AES解密再解压缩得到Shellcode,最后创建线程启动Shellcode。

Shellcode数据中内嵌了一份经过加密的Payload，Shellcode在执行过程中，会解密并内存加载最终的木马程序。

其最终恶意组件是一个Sliver程序，Sliver是一个开源的，Golang开发的跨平台C2框架（https://github.com/BishopFox/sliver/）。Sliver支持Windows，Linux，MACOS等多种系统，并支持多种通信协议。其功能包含文件操作，进程操作，提升权限，进程注入，横向移动、截屏、远程执行shell等多种功能。 除此以外，Sliver服务端在生成木马的时候，还可以对生成的木马函数名进行混淆。如下图，上方是并未添加混淆的样本，可以清楚地看到导入的模块信息。而下方是本次捕获的样本，可以看到函数的信息已经进行了混淆，经过分析，发现该程序C2为158.247.208.174。

1.3.总结

APT-C-01（毒云藤）组织从自披露后，从未停止相关攻击活动，并且极其擅长钓鱼攻击。在同时期，我们也发现该组织多次伪造知名邮箱进行网络钓鱼，从而获取用户信息，并且伪装的钓鱼链接具有很强的迷惑性。因此在这里提醒相关企业和个人加强安全意识，切勿执行未知链接和未知样本，以免中招，从而导致敏感或重要信息的泄漏。

二、“银狐”攻击事件频发，幕后黑产组织UTG-Q-1000起底

2.1. 背景

“银狐”于2023年3月底作为一个黑产组织被披露，该组织通过提升其水坑网站排名，进而传播包含恶意木马，后续还会使用失陷机器即时通讯工具四处投递钓鱼木马程序，主要目标为金融、证券、教育及设计行业。随着业内多个安全团队对“银狐”的深入跟踪发现，相同的攻击技战术被广泛使用在了不同行业领域，与此同时“银狐”的某一版本源码泄露（winos 4.0）被发现，“银狐”从某一独立黑产团体转变为一个在黑产圈广泛使用的木马家族。

如今，“银狐”远控的源码winos在黑产圈广泛传播，已有多个黑产组织对其进行修改衍生出了不同的变种，甚至连一些APT组织也开始使用winos(详见《金眼狗团伙近期活动跟踪》一文)，这些攻击的影响范围包含了境内外的金融、教育、电商、货运、设计甚至机关单位在内的各行各业。在本文中，“银狐”指的是一款远控木马的家族名称。

银狐木马是基于开源的Gh0st木马二次开发的版本，但与常规Gh0st远控有较大差异。包含了键盘记录、远程交谈、代理映射、查注册表、语音监控、视频查看、远程截屏等主要功能。同时支持通过插件的形式实现不同的恶意功能：

当前银狐源码泄露及其二次售卖的情况频繁，售卖和收购甚至免费分享的信息遍布在各种黑客技术论坛或者社交群中：

围绕“银狐”木马有专门的产业链，有人贩卖源码，有人做持续免杀卖给下游。甚至通过一些程序代写的店铺或者群中就有做这类生意的人：

2.2. 传播途径

银狐木马的主要传播途径如下：

攻击者通过制作水坑网站，仿冒流行软件下载页面，伪装不同的木马安装包进行投放，通过SEO优化或购买竞价排名的方式提升其搜索排名等待目标人群下载。

攻击者通过制作钓鱼页面，仿冒税务税收、发票单据、人员名单等主题钓鱼页面，诱导目标人群下载相关文件。

通过QQ、微信等即时通讯工具混入群聊，发送目标人员感兴趣的钓鱼文件或钓鱼链接，诱导受害者进行下载。

入侵受害者机器后攻击者会尝试使用失陷机器中的通讯工具进行二次传播。

通过电子邮件投递钓鱼链接或木马附件的方式进行传播。

当前流行黑产利用银狐木马的参考攻击流程图如下：

2.3. UTG-Q-1000

UTG-Q-1000组织一直在使用银狐木马并且持续进行更新，其资产的更新速度和攻击手法以及免杀对抗等技术的更迭频率都相当高，甚至有时候一天能更新好几个版本，可以说是目前国内最活跃的黑产组织之一。该黑产组织的各类攻击活动被业内多家安全厂商捕获并发表过相关文章，有多个不同的命名，比如“毒鼠”、“游蛇”、“谷堕大盗“、“索伦”等等，经过关联分析，我们确认这些攻击活动隶属同一黑产组织。

我们推测UTG-Q-1000存在多个 “攻击小组”，注意这里不一定是这个黑产组织中真实存在的“小组”，而是我们按照攻击目标以及攻击手法划分出来的“小组”——每个小组针对不同目标人群实施相应的攻击，虽然都使用银狐木马作为主力远控，但是攻击手法各有一些区别，同时各个小组之间的资产、手法或者样本存在一定的关联和重叠。目前划分出来的有4个不同的“小组“，分别为财务组、新闻桃色组、设计制造组还有黑吃黑水坑组；这四个组之间的关系如下图：

下面简要分析各个不同“小组“的攻击手法和特点。

财务组

该小组主要目标人群为财务人员及企事业单位管理人员。其主要攻击手法如下：

1、筛选目标人群发送钓鱼邮件或混入目标群组后发送钓鱼链接，通常伪装成包括税务稽查、电子票据、函件、方案在内的主题内容。钓鱼文档示例如下，诱导受害者跳转钓鱼页面：

进入钓鱼页面后将自动下载木马程序，页面示例如下：

新闻桃色组

该小组主要目标人群为财务和销售人员。其主要攻击手法如下：

1、通过社交软件混入目标群组后发送钓鱼链接\百度云盘链接\诱饵文件，伪装成桃色新闻或返回搜狐，查看更多

责任编辑：