概述
金眼狗的业务范围涵盖远控、挖矿、DDOS 和流量相关。基于奇安信威胁雷达的测绘分析,从 2022 年以来,金眼狗一直是对国内攻击频率最高的几个组织之一。本文将对最近几年捕获到的金眼狗样本以及攻击手法进行介绍,并讨论金眼狗的常用攻击手法和样本演变。
攻击手法
金眼狗通过部署虚假的软件下载网站,再配合不同方式诱导受害者下载安装其恶意程序。主要目标为博彩行业以及相关人员,由于其仿冒网站使用 SEO 优化并且做得相当逼真,所有搜索了特定仿冒软件的人都有可能下载到伪装的恶意安装包。所以金眼狗的攻击影响面极为广泛,国内受影响目标包括互联网公司、证券、制造业、IT 等行业;近期我们发现金眼狗开始频繁使用银狐、winos 等新兴远控木马作为其远控手段。
金眼狗的攻击流程如下图所示:
金眼狗团伙常用的仿冒流行软件包括:
-
Telegram中文版安装包
-
快连VPN
-
Potato社交软件
-
WPS办公软件
-
搜狗输入法
-
Opera浏览器
-
Chrome浏览器
-
Tor
-
爱思助手
-
Team Viewer
-
ToDesk
-
穿梭VPN
-
快帆VPN
-
飞连VPN
-
v2rayN
-
爱加速
-
TradingView投资软件
-
旋风转换器 等等
与此同时,该团伙还针对加密货币从业者投放了囊括 MEXC 加密货币交易所、OKX 欧易数字货币交易所、Gate 芝麻开门在内的多个虚拟货币交易平台仿冒网站。
除开直接在水坑网站目录下获取恶意程序外,此次还发现不同水坑共用恶意域名作为公共服务器,攻击者通过使用程序名或不规则代码来区分对应的恶意程序,之后恶意服务器识别到不同代码后跳转相应的云存储服务器链接进行下载。
传播途径
搜索引擎SEO
金眼狗在编写水坑页面后通过 Yoast SEO 进行优化,提升其在搜索引擎的排名,诱使受害者下载安装恶意的安装程序。当前该团伙的多个水坑排名均较靠前,例如其 WPS 水坑网站在谷歌搜索引擎排名第二:
博彩网站挂黑页或者投放广告
同时还发现团伙在多个赌博网站投放了其水坑网站链接:
通过问答平台、论坛等传播下载站点
样本分析
中文版Telegram
样本来源
该样本为水坑网站 www.telegramkx[.]com 的最新样本,与此前我们发现金眼狗组织使用的木马运行流程一致:
|
文件名 |
文件大小 |
文件MD5 |
|
中文TG_Z_HB_TELE_DESKTOP |
77273108 bytes |
27889662C62E84E3D4400B372379C1C9 |
该木马伪装为 Telegram 的中文版安装程序:
木马执行细节
1. 该样本为 Setup Factory Runtime 生成的 EXE 安装包,运行时将释放含签名的中文 TG 程序,签名信息如下:
同时会创建一个伪装成 flash 组件的恶意 EXE 程序在后台运行:
2. lpxs.exe 主要功能为解密恶意 DLL 并执行,其解密算法与金眼狗曾用木马算法相似:
解密后调用恶意 DLL 的导出函数:
3. HDPX 导出函数包含反调试,主要功能为创建脚本文件并调用,同时释放白+黑木马程序以及一个加密的 TXT 文件:
BAT 脚本文件通过注册表设置关闭 UAC 提示:
4. 木马后续将会解密 TXT 释放一个修改版 Gh0st 木马,C2 为 154.19.167.161:15628:
爱思助手
样本来源
该样本为水坑网站 i4.com[.]vn 的最新样本,经分析为银狐家族木马,最终释放了 Gh0st 实现远程控制:
|
文件名 |
文件大小 |
文件MD5 |
|
i4Tools8_v8.29_Setup |
273814143 bytes |
FBA8EBBFB1D526736498650DA0656AA9 |
木马执行细节
1. 该样本将释放正常的爱思助手安装程序,除此之外还将释放白+黑木马程序:
白利用程序为某公司的”打印机卫士”相关文件:
2. 黑 DLL 监测到调试器直接退出不触发恶意行为:
通过异或解密自身的硬编码 shellcode 及其参数,并调用 ZwCreateThreadEx 函数进程注入:
3. shellcode 通过异或解密传入的二进制数据,获取 DLL 并调用导出函数:
4. 该 DLL 主要功能为反调试及监测 360 安全卫士,监测完成后将释放下一阶段的白加黑程序及一个 .dat 后缀的 shellcode 文件,过程中木马会先将程序释放到 Windows 临时目录下,然后再通过管道使用 CMD 命令将其重命名并转移到 C 盘根目录:
5. 下一阶段 DLL 程序首先将目录 ‘C:Program Files (x86)’ 及 ‘C:’ 添加到 Windows Defender 的排除列表中:
创建互斥体 “FakeMutex” :
最后类似前阶段的木马流程,注入 .dat 文件中的 shellcode 代码:
6. shellcode 将在内存中解密一个 UPX 加壳的 DLL 文件并调用其导出函数,为修改版 Gh0st 木马,C2 为 38.46.12.82:51163:
Clash
样本来源
该样本为水坑网站 v2raynos[.]com 的相关样本,经分析为银狐家族木马,最终释放了 Winos 实现远程控制:
|
文件名 |
文件大小 |
文件MD5 |
|
Clash.for.Windows.Setup |
189645312 bytes |
617CD6206A0745CD6AAE92B09F8B4C2A |
木马执行细节
1. 该样本安装时会释放一个黑 DLL 与一个 .log 后缀的恶意文件:
2. 通过 .log 释放下阶段 PE 文件后调用其恶意导出函数,释放多个 .lnk 文件,通过第一个 .lnk 将第二个 dick.lnk 添加注册表自启动,再通过 dick.lnk 文件启动其白+黑程序:
3. 白+黑将通过第二个 Ensup.log 释放 Winos 木马,样本中自带的配置信息如下:
C2 为 202.146.220.95:6666/ 202.146.220.95:8888/ 202.146.220.95:8080
挖矿活动
此次事件中金眼狗团伙除了投放远控木马外,还存在挖矿相关的木马程序,示例样本信息如下:
|
文件名 |
文件大小 |
文件MD5 |
|
IBusEnum |
5120852 bytes |
42A802F20D8998F19CE8ED5F84A9CD2A |
自带的配置信息如下:
当前远程配置信息如下:
总结
实际上,通过奇安信威胁雷达的遥测感知和奇安信红雨滴团队基于客户现场的 APT 攻击线索,并结合使用了奇安信威胁情报的全线产品告警数据进行分析,从 2022 年以来,金眼狗一直是对国内攻击频率最高的几个组织之一,涉及教育、互联网、证券、制造业、IT 软件服务等等多个行业。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
参考链接
[2].https://ti.qianxin.com/blog/articles/operation-dragon-dance-the-sword-of-damocles-hanging-over-the-gaming-industry/
IOC
水坑域名:
i4.com.vn
aisizhushou.com
cn-wps.com
fl-vpn.com
cs-vpn.com
transocks-vpn.com
gategw.com
zh-aijiasu.com
ajsvpn.com
zh-potato.com
potato-zh.com
opuaera.com
sogou-shurufa.com
todeskcn.com
todesk-zh.com
v2raynos.com
zh-csvpn.com
zh-mexc.com
chinese-whatsapp.com
apps-whatsapp.com
zhcn-whatsapp.org
downloads-whatsapp.com
windows-whatsapp.com
china-whatsapp.com
telegramca.com
china-telegram.im
www-telegram.org
telegrampw.com
telegramlo.com
telegramqo.com
telegramkx.com
telegramox.com
telegram-apk.com
telegram-desktop.org
qobddze.cn
oeokx.cn
okx-client.cn
zh-okex.cn
zh-gateio.cn
aicoinzh.com
tradingview-en.com
ayicoin.com
aicoims.com
nbxieheng.cn
line-zhcn.com
www-wps.org
恶意下载服务器:
www.heimao-136.com
www.heimao-134.com
www.heimao-132.com
www.heimao-131.com
zhcn.down-cdn.com
zh.seacdndown.com
cdn-down.cdndown.shop
tlelga929.oss-cn-hongkong.aliyuncs.com
mmm3.oss-cn-hongkong.aliyuncs.com
tgurl.cc
dshjfdf.oss-cn-hongkong.aliyuncs.com
trdgh.oss-cn-hongkong.aliyuncs.com
tgram1025.oss-cn-hongkong.aliyuncs.com
uifdt6.oss-cn-hongkong.aliyuncs.com
oss-kuaisu.oss-cn-hongkong.aliyuncs.com
teleram914.oss-cn-hongkong.aliyuncs.com
assau.oss-ap-southeast-7.aliyuncs.com
downs-hao123.top
38.12.22.84
38.12.20.98
paopaoliaotian.s3.ap-east-1.amazonaws.com
softs-downloads.oss-ap-southeast-1.aliyuncs.com
矿池:
mm.bitbrowser.me:3333
C2:
titamic.com
simmem.com
golomee.com
guduo.xyz
154.204.0.5:15628
27.124.43.226:15628
206.119.81.142:15628
154.91.64.32:15628
1.32.254.26:15628
154.23.176.47:15628
202.79.174.153:15628
1.32.253.30:15628
45.120.80.106:15628
103.99.63.155:15628
154.19.167.161:15628
143.92.57.75:15628
103.229.60.101:15628
103.97.228.178:15628
103.106.202.99:15628
1.32.249.20:15628
27.124.43.69:15628
27.124.2.12:15628
38.47.233.250:15628
156.248.57.11:15628
137.220.135.149:15628
103.181.134.170:15628
27.124.4.188:15628
8.217.125.184:15628
103.234.73.63:15628
180.215.194.24:15628
143.92.32.50:15628
192.252.181.56:15628
137.220.135.130:15628
154.82.92.35:15628
156.248.57.49:15628
134.122.129.8:15628
45.145.73.105:15628
27.124.7.23:15628
103.107.239.23:15628
1.32.249.143:15628
156.240.106.128:15628
154.84.24.112:15628
144.48.221.176:15628
47.76.148.61:15628
81.31.208.55:15628
8.217.132.138:15628
206.119.80.89:15628
154.204.0.7:15628
27.50.63.40:15628
154.84.23.38:15628
206.238.40.164:2869
103.215.76.136:2869
202.146.220.95:6666
202.146.220.95:8888
38.46.12.82:51163
点击阅读原文至ALPHA 7.0
即刻助力威胁研判
原文始发于微信公众号(奇安信威胁情报中心):金眼狗团伙近期活动跟踪
