近期，毒霸安全团队发现大量利用电子发票作为诱饵的钓鱼攻击活动。攻击者伪装成发票下载站，诱导用户进入钓鱼站点，并最终在用户电脑上执行远控木马。这些钓鱼站点拥有庞大的基础设施，攻击者频繁更新木马文件，并通过分享链接进行传播，单个诱饵日下载量可达数千次。经过综合分析，幕后组织被判定为一群盘踞在东南亚地区的中文背景黑产组织，他们长期针对国内企事业单位进行网络攻击。该组织利用LOLBins免杀技术，通过嵌入Lua脚本的更新程序执行远控木马，并利用广泛的C2服务器网络进行活动。防范此类攻击，需警惕陌生链接和附件，仔细核对文件来源，并开启安全防护。

📧 **电子发票钓鱼攻击猖獗，伪装成合法下载站**：攻击者利用电子发票作为诱饵，通过伪装成真实的发票下载网站，诱导用户点击链接或下载附件。这些钓鱼站点与正常的开发票网站非常相似，难以辨别真伪，一旦用户上当，其电脑便可能被植入远控木马，从而被远程监视和操控。

🌐 **境外黑产组织是幕后推手，基础设施庞大**：通过对钓鱼平台源码、C2服务器日志、恶意代码等进行分析，安全团队认为此次攻击活动由一个盘踞在境外东南亚地区、具有中文语言背景的黑产组织发起。该组织拥有庞大的基础设施，包括大量的C2服务器和频繁更新的钓鱼文件，显示出其组织性和持续性。

💻 **多重免杀技术与强大远控木马**：攻击者采用了包括LOLBins（Living Off The Land Binaries）免杀技术，通过伪装成XShell等工具的更新程序来执行恶意代码。其植入的远控木马（修改版gh0st）功能强大，不仅具备常规的文件操作、屏幕截图、键盘记录等功能，还能强制清理浏览器数据，以窃取用户输入的网站凭证，对用户隐私和信息安全构成严重威胁。

🛡️ **防范建议与安全提示**：为应对此类攻击，用户应提高警惕，不轻易点击陌生邮件或信息中的链接，不随意下载未知来源的文件。在下载文件时，务必仔细核对来源信息。同时，开启安全软件的内存防护功能，可以有效阻断此类内存执行的恶意攻击。

2023-04-18 19:33 广东

近期毒霸安全团队监测到大量利用电子发票为诱饵的钓鱼攻击活动，攻击者通过发送大量钓鱼诱饵引导用户进入钓鱼站点。

近期毒霸安全团队监测到大量利用电子发票为诱饵的钓鱼攻击活动，攻击者通过发送大量钓鱼诱饵引导用户进入钓鱼站点。这些钓鱼站伪装成发票下载站，与平常人们开发票站点相似，稍有不注意很容易上当。这些钓鱼木马最终会在内存中执行gh0st远控木马，监视并操控用户电脑。

在对钓鱼站深入分析后发现，网站开设有30多个后台账号，这些账号不断上传木马文件，并保持持续更新，甚至一天更新多次，上传成功后可以生成分享链接，这些链接被用作钓鱼诱饵分发，其中单个诱饵最多的一天下载量达3000多次，受影响用户甚广。通过对攻击者使用的钓鱼平台源码、C2服务器操作日志、恶意代码归因以及攻击技术手法等维度综合判定，我们认为幕后组织为一群盘踞在境外东南亚地区的黑产组织，具有中文语言背景，长期针对国内企事业单位，发动定向钓鱼、电信诈骗等网络攻击活动。

其中一个钓鱼页面：

http://www.siyike[.]work/#/share/69cc0f49b08f4a4a9e86

攻击流程

详细分析

钓鱼样本23554001.rar 打包了一个可执行程序23554001.exe。该样本执行后调用UrlDownloadToFile函数下载后阶段payLoad，并存放对应目录，最后执行“C:\programdata\thunderupdate\LiveUpdate.exe”。

下载文件对应关系如下。

LiveUpdata.exe 是利用LOLBins免杀技术，这个文件是一个XShell、Xftp、系列工具的更新程序，它运行后会读取当前目录下同名的LiveUpdate.dat文件。LiveUpdate.dat是zip压缩文件使用内置密码解压。压缩包中包含一个_TUProj.dat文件，该文件实际是一个包含Lua脚本的文件。攻击者在lua中嵌入了shellcode，当LiveUpdata.exe对LiveUpdate.dat解析成功后Lua脚本得到执行。

shellcode执行后会读取同目录下的xml，实际为修改了pe头的dll文件，对pe头修补后在内存中加载执行。在Thunderupdate目录和Thunder目录下各有一个xml文件分别为两个不同payload。Thunder目录下的导出名为libe.dll, Thunderupdate下的为Server22.dll

libe.dll的功能比较简单主要是把c:\programdata\thunder\LiveUpdate.exe 通过COM接口注册计划任务。Server22.dll为修改版gh0st远控，C2地址从c:\programdata\setting.ini 文件读取。该远控功能强大有接近70个控制码，除了常规的文件、注册表操作, 截屏, 远程控制，键盘记录，录音外，命令执行外，还会强制清理用户浏览器数据让用户重新输入网站凭证，以便截取用户输入。部分控制功能如下：

从URL“http://my.xindajiema[.]info/picturess/2023/221.100.txt”中发现下载的内容中”61[.]160.221.100“的IP后两段与文件名"221.100.txt"相同，我们推测还存在大量其他的C2地址，对ip地址后两段生成字典对该路径爆破，共获取到有效C2地址203个，这些C2在ti.duba.net平台中查询可以关联到大量同类型样本。据此我们可以看出该组织的基础设施规模非常庞大。

钓鱼站点分析

钓鱼站点使用网盘类web程序搭建，进入后台和数据库后发现，根据第一条上传记录推测站点创建于2023-01-25日前。

钓鱼站点有30多个账户，不同的账户每日都在上传钓鱼文件，在其中一个账户后台可以看到近期的上传记录,点击分享便可以产生一个分享页也就是文章开始提到的钓鱼页面。

上传文件按下载量排序显示2023-03-15日上传的23554003.rar文件下载最高达3000次，该站点在两个月的时间里共上传了70多个诱饵文件。

在排查过程中还发现攻击者SSH连接IP来自老挝博胶省， 设备是中文环境语言 zh_CN.UTF-8 。

总结

近些年来钓鱼攻击越来越频发，个人信息的泄露也在一定程度上助推了这些活动更加具有针对性，发票类型钓鱼的目标大多都是企事业单位的财务人员，结合攻击者所在的东南亚地区，也让我们联想到诈骗活动。一旦攻击者发现是高价值目标便会持续监视用户的一举一动，那将毫无隐私可言，各种社交聊天信息和机密信息都将暴露，攻击者甚至可以操纵用户的微信、QQ为受害用户定制化诈骗场景。由于攻击组织在境外，一旦有资金损失要追溯也是非常困难。防范建议：不要轻易点击陌生邮件中的链接或下载附件，尤其是来自不信任或不熟悉的发件人。下载文件时要仔细核对文件和来源信息，同时开启毒霸的内存防护也可有效阻断此类攻击。

IOC:

1f48ba6ce347cfba4882e70087ce6887

http://www.siyike[.]work

http://my.xindajiema[.]info

61.160.221.100

阅读原文

跳转微信打开