“看门狗”团伙针对商户的钓鱼攻击
2021-09-22 16:59

报告编号:B6-2021-092203

报告来源:360高级威胁分析中心

报告作者:360高级威胁分析中心

更新日期:2021-09-22

0x01   概述

9月中旬,360安全大脑监测到多起针对商户和股民的网络木马攻击事件。经过360高级威胁研究分析中心追踪分析发现,此次发起攻击的木马主要有两种下发路线:一是由受害者访问钓鱼网站下载木马包导致其执行,另一个则通过通讯软件(如Telegram)群组内传播木马压缩包所致。此次攻击的手法和使用的文件特征与“看门狗”团伙均有相似之处——除传播渠道相似外,木马执行方法也同样是通过lnk文件执行脚本进而发起断网攻击等方式向受害机器植入远控木马并实现持续驻留的。

“看门狗”团伙也被称为“金眼狗”,国内外安全厂商均有过多次报道,其主要攻击目标为东南亚博彩行业,并惯于使用Telegram等软件进行传播。

0x02   攻击方式分析

经溯源,我们找到下发木马压缩包的恶意网站IP为144.48.8.72,由此可反查到该IP的两个域名ouyipay.net和hlsypay.com。两个恶意域名均在今年9月份进行注册,并且从域名的拼写来看,应该是在模仿第三方在线支付解决方案网站yoyipay.com和hlspay.com(已过期)进行的域名注册。而通过通讯软件群组进行传播的木马也会根据所在群组特征有针对性的修改为对特定群体更具吸引力的名称进行投放,比如分析人员就曾捕获到其经使用了“茅台集团户外广告资源采购- 禁止外传 内部使用需申请.zip”的文件名进行传播。

虽然使用多种方式进行传播,但其下发的木马是一致的。以钓鱼网站下发为例,当用户访问攻击者设置的钓鱼网站时将会看到相同的如下登录界面:

不管是“点击此处更新防护盾”还是输入账号密码“安全登录”,最终都会从URL:index_files/ouyipay.zip处下载到名为ouyipay.zip的恶意压缩包资源。

压缩包ouyipay.zip仅包含一个可执行文件文件,即ouyipay.exe。分析人员所下载到的文件编译时间为9月15日,而在撰写这篇报告的同时,木马仍在不断更新。

该木马会要求管理员权限启动。当系统的UAC弹窗出现后,若用户点击确认以管理员权限启动木马,则其会在C:\programdata\下释放如下文件:

- svchosts.exe(Dropper,释放后续木马)

- unzip.lnk(unzip.exe解压同目录下building.exe)

- building.exe(指定释放路径的url压缩包)

- Minutes.vbe

- Unzip.exe

- thanwiops.exe(上述文件的压缩包)

释放完成后,会立即执行如下这段powershell命令:

powershell命令主要完成以下工作:

1. 利用DCOM接口对象ShellWindows,执行系统命令断开网络连接;

2. 休眠2秒后执行之前释放的程序C:\ProgramData\svchosts.exe;

3. 利用DCOM接口执行之前释放的脚本C:\ProgramData\Minutes.vbe;

4. 休眠2秒后执行系统命令恢复网络连接。

木马释放处的svchosts.exe程序被启动后,会再释放处officeexp.exe、office.exe并执行。释放的两个文件功能相似,均具有齐全的远控功能,支持进程操作、文件操作、键盘记录、信息窃取、截屏、代理、横向移动、驻留机器等功能

而脚本C:\ProgramData\Minutes.vbe解码后所得到的命令如下:

该vbe文件最小化执行被释放的unzip.lnk,工作目录指定为C:\Users\Public\Documents。unzip.lnk则会调用同目录下的unzip.exe去解压C:\ProgramData\building.exe。

而build.exe实际上是一个压缩包文件,释放路径为\Microsoft\Windows\Start Menu\Programs\startup,释放文件为GetCurrentProcess.VenmouSness.url,最终释放位置为%PROGRAMDATA%下的自启动目录,URL文件会指向file:///C:/ProgramData/svchosts.exe。

通过上述一系列复杂操作,最终该木马实现了其释放的远控程序svchosts.exe的长期内存驻留。而攻击者可以在后续的操作中,利用驻留内存的木马进一步收集用户信息,并发起新一轮渗透攻击。

该团伙近年来持续活跃,且惯于使用各类钓鱼手段。我们在这里提醒各类商户提高安全意识,尤其对此类木马攻击做好安全防护工作。

0x03   IOCs

- hxxps://ouyipay.net

- hxxps://hlsypay.com

- d6a14dc0f23e511009e6f67414be01b7

- f3e73aa3a1e37773256ec245cb93b26b

- 5a01b82cf0efa99fb4dcda1565e8dc79

- 63515879a24bba6803f54be0f8003b2e

- 733a3d0f86bdc6b9dc809ef2d437f6dd

- d569f44ce5792ee816b4182e3c7bc7da

- dd59fcb46b24123da824cbaa4bf35e2b

- 56bce432f94162dabd7fdfa635110f15

- ddec8535214039f90faf9c3af1e8e5fb

- 144.48.8.72

- 43.252.231.58

- 192.253.239.93

- 58.221.42.59

- C:\programdata\svchosts.exe

- C:\programdata\unzip.lnk

- C:\programdata\building.exe

- C:\programdata\Minutes.vbe

- C:\programdata\unzip.exe

- C:\programdata\Microsoft\Windows\Start Menu\Programs\startup\GetCurrentProcess.VenmouSness.url

0x04   产品侧解决方案

若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360AISA全流量威胁分析系统

针对微软本次安全更新,360AISA已基于流量侧提供对应检测能力更新,请AISA用户联系techsupport@360.cn获取更新,尽快升级检测引擎和规则,做好安全防护工作。

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

360终端安全管理系统

360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。

0x05   时间线

2021-09-22 360高级威胁分析中心发布通告