新黑产团伙“黑猫”技术细节曝光
2024-10-29 01:35:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏
1
“黑猫”团伙画像
近日,微步情报局通过威胁狩猎发现“黑猫”团伙,“黑猫”通过部署虚假的软件下载网站,然后通过各种搜索引擎优化技术提高网站在搜索引擎关键字排行,诱导受害者下载安装,实际下载的安装包含有窃密和盗取虚拟货币的病毒木马。微步情报局已于上周发文揭露“黑猫”的攻击手法和团伙画像:《曝光新黑产团伙“黑猫”,广撒网窃币、挖矿,中招企业极多!
“黑猫”在该网站上部署带有后门的安装包程序,受害者下载安装后运行后门程序将导致主机失陷。微步情报局通过对攻击者资产进行监控、拓线和溯源,发现这次攻击自7月底开始,累计检出量达数十万次,涉及各个行业领域。
微步情报局经过深入分析,有如下发现:

  • 由于该团伙的域名资产中含有大量“heimao-*(三位数字).com”特征域名,微步情报局将该团伙命名为“黑猫”。

  • “黑猫”最早能追溯到22年,该团伙部署仿冒的telegram的中文官方网站,并利用SEO技术将网站放置到搜索引擎结果靠前位置,诱导受害者点击下载安装。

  • “黑猫”在23年部署AICoin(虚拟货币行情交易平台)虚假的下载网站,并使用搜索引擎关键字竞价排行方式置于Google搜索结果前列,受害者点击后下载了带有后门的样本,导致受害人设备中浏览器插件钱包全链资产遭到清空,其中仅BSC链便有超过16万美金的损失。

  • “黑猫”在24年再次活动,部署了Google浏览器虚假下载网站,并通过SEO的方式提高在Bing搜索引擎结果的排行,受害者点击下载后在安装目录中释放挖矿程序,程序远程下载了挖矿配置文件,解析配置文件后连接矿池地址进行挖矿。

  • 通过对团伙的资产挖掘,发现“黑猫”擅长使用各种在搜索引擎中提高网站排名的手法,利用该手法来提高部署的钓鱼页面在搜索引擎中的排行,这些钓鱼网站常见部署的主题有:WPS,Chrome,搜狗输入法等,除此之外,“黑猫”也部署针对数字货币行业常用软件:Telegram,AIcoin,Tradingview,Electrum钱包,okx欧易数字货币交易所,Gate交易所,快帆VPN等。   

  • “黑猫”通过部署的钓鱼网站投递各类恶意样本,样本中存在银狐木马,变种Gh0st木马,窃密木马,以及XMRig挖矿木马,其中木马的C2地址和今年上半年金眼狗所使用的远控后门内置的C2地址相同,这表明“黑猫”疑似和金眼狗组织具有一定关联。

  • “黑猫”主要目标还是以赚钱盈利为主,目标之一为安全意识不足的数字货币行业从业人员,通过远控主机来盗取受害者的虚拟货币。同时,该团伙也会部署一些常用软件的钓鱼网站来远程控制肉鸡,通过在肉鸡上下载挖矿组件进行挖矿行为牟利。

  • 微步通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步威胁感知平台 TDP 、威胁情报管理平台 TIP 、威胁情报云 API 、云沙箱 S、沙箱分析平台 OneSandbox、互联网安全接入服务 OneDNS 、威胁防御系统 OneSIG 、终端安全管理平台 OneSEC 等均已支持对此次攻击事件的检测与防护。

  • 在微步情报局发文后,“黑猫”发现自己已经暴露,于上周下架了多个钓鱼网站,因此部分IOC已失效,但“黑猫”仍然可能卷土重来,微步情报局会密切关注“黑猫”的后续动向。

2
事件分析

2.1 攻击者画像

特点
擅于使用各种提高搜索引擎排行的方式;
部署钓鱼网站手法高超,使用中间下载链接来规避追踪和实时替换下载文件;
以敛财盈利为主,主要目标为盗窃虚拟货币;
当发现主机并无窃取价值,会下载挖矿组件进行挖矿盈利。
平台
Windows
传播方式
部署虚假软件下载页面,并提高钓鱼网站在搜索引擎排行诱导下载
攻击地区
中国
攻击人群
数字货币行业的从业人员;
下载谷歌浏览器,搜狗输入法,WPS办公软件等办公人群。
攻击目的
远控、窃密、盗币、控制肉鸡

2.2 攻击流程

“黑猫”大范围部署虚假软件下载网站,并通过各种手段提高在搜索引擎关键字排行,诱导受害者点击下载,受害者访问钓鱼页面并下载带有后门的安装程序。
通过后门程序窃取受害者虚拟货币钱包,浏览器信息,监听键盘等,如果受害者不具备盗币的可能,“黑猫”会释放XMRig挖矿木马组件进行挖矿。
 

2.3 攻击特点

“黑猫”擅长使用各种提高搜索引擎排行的方式,通过拓线和溯源分析,发现其钓鱼页面资产常年霸榜各个搜索引擎:
某搜索引擎ToDesk占据第二位置
某搜索引擎Telegram占据第二位置
“黑猫”部署一些办公常用软件,这些钓鱼网站在各大搜索引擎排行靠前,这也导致大量用户受害(部分链接已于上周失效):
仿冒软件名
钓鱼链接地址
搜索引擎中最高历史排名
Chrome浏览器
http://zh-chrome.com/
https://guge-chrome.com/
https://zh-google.cn/
https://web-chrome.cn
https://chromecn.cn
https://chromem.cn
第一
Todesk远控软件
https://todesk-zh.com/
第二
WPS办公软件
https://cn-wps.com
第三
爱思助手
https://i4.com.vn/
第四
“黑猫”另一目标为盗窃受害者的虚拟货币,所以针对从事数字货币行业的人群部署钓鱼网站,通过拓线分析,发现一大批该类型的钓鱼网站(部分链接已于上周失效):
仿冒软件名
钓鱼链接地址
搜索引擎中最高历史排名
爱加速vpn
https://zh-aijiasu.com/
https://ajsvpn.com/
第三
MEXC数字资产一站式交易平台       
https://zh-mexc.com/
第七
potato社交软件
https://zh-potato.com/
https://potato-zh.com/
第十一
穿梭VPN
https://cs-vpn.com/                  
https://zh-csvpn.com/                  
https://transocks-vpn.com/
第四
飞连vpn
https://fl-vpn.com/
第一
快帆加速器
https://www.qobddze.cn/
拓线获得
okx欧易交易所
https://oeokx.cn/
https://okx-client.cn/
https://zh-okex.cn/
第四
gate交易所
https://zh-gateio.cn/
拓线获得
aicoin
https://www.aicoinzh.com/
第二
tradingview
https://tradingview-en.com/
http://ayicoin.com
https://nbxieheng.cn/
第一
telegram(电报)
https://www.telegramef.com/
第一

在对“黑猫”的投递样本分析时,发现“黑猫”投递的样本复杂多样,各种Gh0st魔改远控,银狐木马,窃密软件,XMRig挖矿木马层出不穷,且样本更新速度很快,投递的loader中带有具备对抗各大杀软,反虚拟机调试,反沙箱技术,这体现出“黑猫”具备优秀恶意样本开发能力。

3
拓线溯源
“黑猫”在今年上半年被一家区块链数据分析公司Bitrace披露,存在伪造智能行情工具平台AICoin 的下载页面(https://aicoims.com)。受害人在谷歌浏览器中搜索关键词「AIcoin」,并点击首页展现的第一个链接进入仿冒的官网,下载应用程序后不久,受害人设备中浏览器插件钱包全链资产遭到清空,其中仅 BSC 链便有超过 16 万美金的损失。
图片来源:Bitrace

3.2 挖矿木马投递

“黑猫”在投递XMRig挖矿木马时,将XMRig配置文件放到远程服务器上,木马在运行时进行动态请求获取,此方式可以让“黑猫”在挖矿木马的配置上更灵活,及时调整挖矿木马的配置以及矿池地址:

3.3 历史投递apk样本

在对该远程服务器域名进行拓线分析时,发现其历史上存放众多伪造软件安装的样本:

其中可以发现有一个样本来自钓鱼网站telegram-apk.com中的链接为一个二维码地址:
该二维码链接到telegram-apk.com网站的各个文章地址。
这些文章内容是关于telegram的一些安装使用问题,在文章右下的二维码中包含恶意木马下载的链接:

扫码链接下载文件:https://cdn-down.cdndown.shop/telegram_1119.apk

该钓鱼网站早在22年被“黑猫”注册使用,当时就有安全人员披露该钓鱼网站投递恶意的apk样本:
这也证明了“黑猫”的活动最早能追踪到22年,在22年“黑猫”注册了针对Telegram的钓鱼域名并使用至今。

3.4 投递远控样本

目前使用该域名投递Windows平台远控样本:
目前网站下载链接为:https://www.heimao-131.com/jhpesYW7cW
跳转下载链接地址:https://jsuhuiyutsygbfnljhvdyugvb.s3.ap-east-1.amazonaws.com/TG/_中文版_TG_telegrnai_win10_11_ios_X_64.exe
该样本使用进程注入到svchost.exe中,最终连接C2地址27.124.43.226:28612

3.5 使用银狐远控 

在对“黑猫”钓鱼网站进行分析时,发现来自针对爱思助手的钓鱼网站i4.com.vn下载银狐木马:
在该网站下载链接为:https://www.heimao-134.com/4xJSKVzrUX
跳转下载链接地址:https://aisiapp.oss-ap-southeast-1.aliyuncs.com/aisi.msi
该样本通过白加黑手法运行active_desktop_render.dll读取并解密Ensup.log得到Payload载荷,载荷为银狐木马(Winos)4.0的上线模块.dll,最后加载C2配置,链接C2:202.146.220.95:6666/ 202.146.220.95:8888/ 202.146.220.95:8080

3.6 关联金眼狗

在对“黑猫”的样本以及链接C2进行分析时,发现“黑猫”使用的C2:27.124.43.226,在今年上半年为金眼狗所使用,且在8月份关联众多银狐木马:

在今年4月时,金眼狗团伙部署了伪造快连VPN的钓鱼网站(letssvpn.vip),并通过SEO将其放到Google搜索引擎前列,最后下载带有后门程序的安装包Kuaivpn-n-3.msi(dddbd75aab7dab2bde4787001fd021d3),安装该程序释放远控后门,连接在后门中内置编码的C2地址,其中就包含27.124.43.226:15628。

4

样本分析

“黑猫”使用大量不同类型的样本,已知捕获中存在银狐木马,变种Gh0st木马,窃密木马,以及XMRig挖矿木马,下面主要分析其窃密木马和挖矿木马程序:

4.1 窃密木马

Sha256
ac4a64792dff853f0ca7a0898edff72af9078576b7e5e6176adeb0646d915ce5
SHA1
96e3df502ab41461ae2a35257f9b53c6f2c390c7
MD5
f81cba6b341422fe2f0e7bc1a2fc0485
文件类型
ZIP压缩文件
文件大小
47.14 MB (49434432 bytes)
文件名称
todeskx64.zip
文件来源
https://todesk-zh.com/
文件下载链接
https://zhcn.down-cdn.com/todeskx64.zip
文件功能描述
伪装todesk安装程序,在todesk安装目录下存在白加黑恶意组件,在桌面释放快捷方式指向白加黑恶意组件,组件运行后加载解密后续恶意DLL,连接C2并传输虚拟货币钱包,剪切板,键盘,浏览器数据,然后运行todesk软件程序。

详细分析

第一阶段:初始安装程序

样本伪装成ToDesk安装程序,采用Inno Setup进行打包:
安装程序运行后默认在C盘释放,值得注意的是,为了防止覆盖安装,会随机在安装目录上生成乱码后缀:

第二阶段:白加黑利用组件

安装完成后,会在桌面生成快捷方式,但是快捷方式不是直接指向安装程序,而是指向安装目录下的后门程序:
该后门程序通过白加黑执行恶意dll:
   
通过读取 PerfSringup.gh6u 文件进行解密:
解密之后为一PE文件:

第三阶段:解密dll程序

对其解密木马进行分析

创建互斥体 "FGHGE26CC933CCB05F61F2214C060D532E61DDSF":
查看注册表是否存在相关配置:
创建相关字符串:
创建相关目录:
通过注册表创建自启动项:
其C2硬编码到代码中,为 simmem.com:2869,远程连接该域名,进行数据传输:
该木马功能为窃取软件,主要窃取加密钱包数据:
浏览器数据:
获取键盘数据:
获取剪切板数据等等:

4.2 挖矿木马

下载地址
http://mmm3.oss-cn-hongkong.aliyuncs.com/IBusEnum.zip
loader手法
用白程序IBusEnum.exe加载黑DLL:plc4.dll程序
下载文件hash
8cf6eca38b3e9473067e2f8d8890758f4da3d267f0968a444dffc21401a01009
挖矿配置地址
http://cdn-down.cdndown.shop/config.json
矿池地址
mm.bitbrowser.me:3333

详细分析

IBusEnum.zip压缩包解压后,主要是用白程序IBusEnum.exe(原始名称:Nvu.exe,又称N-View,是一款免费的HTML编辑器)加载黑DLL:plc4.dll程序
从cdn-down.cdndown.shop上下载config.json和SmCredential.exe,SmCredential.exe为XMRig挖矿程序,项目地址为https://github.com/xmrig/xmrig,config.json为XMRig挖矿配置文件,矿池地址为mm.bitbrowser.me:3333
后续调用SmCredential.exe程序加载config.json进行挖矿:

5
自查与处置
5.1 自查方式

如果存在相关情报告警,查询:

  1. 检查浏览器历史记录是否存在钓鱼网站访问记录

  2. 检查浏览器下载文件的原始链接中是否存在披露的下载URL

  3. 检查进程中是否存在通过其他白签名文件启动的软件(例如下面文件使用甲骨文签名的文件启动了Chrome,但实际上该文件是白加黑利用文件中的白程序):
  4. 检查桌面软件的快捷方式启动的实际链接文件(安装包运行后,会在桌面生成快捷方式,但是快捷方式不是直接指向安装程序,而是指向安装目录下白加黑的后门程序)

5.2 处置建议 

如果确认存在安装了带有后门的木马程序,请做如下处置:
  1. 关闭相关进程
  2. 删除带有后门的安装软件整个目录,并清除桌面快捷方式
  3. 主机全盘进行病毒扫描以及查杀
  4. 排查主机自启动项,清除可疑的启动项  
附录-IOC
钓鱼域名:

zh-aijiasu.com

ajsvpn.com

zh-mexc.com

zh-potato.com

potato-zh.com

cs-vpn.com

zh-csvpn.com

transocks-vpn.com

fl-vpn.com

qobddze.cn

oeokx.cn

okx-client.cn

zh-okex.cn

zh-gateio.cn

aicoinzh.com

tradingview-en.com

ayicoin.com

nbxieheng.cn

todesk-zh.com

telegram-apk.com

aicoims.com

cn-wps.com

i4.com.vn

远控C2:

titamic.com

simmem.com

golomee.com

206.238.40.164:2869

103.215.76.136:2869

202.146.220.95:6666

202.146.220.95:8888

下载URL:

http://mmm3.oss-cn-hongkong.aliyuncs.com/IBusEnum.zip

http://zhcn.down-cdn.com/todeskx64.zip
https://zhcn.down-cdn.com/todeskx64.zip

http://zhcn.down-cdn.com/speedin-x64.zip
http://zhcn.down-cdn.com/gateio-win64.zip

http://zhcn.down-cdn.com/chromex64.zip
https://zhcn.down-cdn.com/chromex64.zip

http://zhcn.down-cdn.com/mexc_winx64.zip
https://zhcn.down-cdn.com/mexc_winx64.zip

http://zhcn.down-cdn.com/ajiasu_x64.zip
https://zhcn.down-cdn.com/ajiasu_x64.zip
https://zhcn.down-cdn.com/potato_latestx64.zip
https://zhcn.down-cdn.com/transocks_x64.zip
https://zhcn.down-cdn.com/feilian_latestx64.zip

https://www.heimao-131.com/jhpesYW7cW

https://www.heimao-132.com/SWD8yn5IZB
https://www.heimao-134.com/SWD8yn5IZB

https://www.heimao-134.com/4xJSKVzrUX

https://longfeng1688.oss-cn-hongkong.aliyuncs.com/WPS_Setup_1688.exe

https://paopaoliaotian.s3.ap-east-1.amazonaws.com/wps/off_WPS_Setup_win-x64.exe

https://softs-downloads.oss-ap-southeast-1.aliyuncs.com/aisi.msi

矿池配置文件地址:

http://cdn-down.cdndown.shop/config.json

矿池地址:

mm.bitbrowser.me:3333

8.210.11.47:3333

47.239.126.185:3333

- END -

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247507315&idx=1&sn=bed333eee35e91419f46af187f509fb1&chksm=cfcabe67f8bd377126b893abb8f6068824fd72939c713da664bac095dba69e18388544069b3e&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh