主要观点总结
知道创宇404高级威胁情报团队发现了仿冒国家重要单位及网络安全厂商员工系统的钓鱼网站,并捕获了一批疑似银狐团伙的Winos远控样本。这些样本使用VMP壳进行代码保护,且攻击目标不同于以往,指向国家单位及安全厂商。此外,还发现该团伙的powershell混淆工具和新出现的downloader木马。
关键观点总结
关键观点1: 钓鱼网站与银狐团伙的新攻击活动
知道创宇404团队通过跟踪钓鱼网站发现了银狐团伙的新一轮攻击,该网站仿冒国家重要单位及网络安全厂商员工系统,并捕获了一批样本。
关键观点2: 样本分析与特点
分析发现,这些样本属于银狐团伙常用的Winos远控样本,使用VMP壳进行代码保护,攻击目标指向国家单位及安全厂商,这与以往针对财税人员的攻击不同。
关键观点3: 新发现恶意文件与工具
除了Winos样本,还发现了一个新的downloader木马和powershell混淆工具Out-EncodedSpecialCharOnlyCommand,该工具能够实现powershell脚本代码的混淆。
关键观点4: APT攻击行为的怀疑
银狐团伙的攻击目的被认为可能不仅仅是黑产行为,还可能涉及到APT攻击行为,这引起了安全行业的警觉。
文章预览
作者: 知道创宇404高级威胁情报团队 时间:2024年7月5日 1. 概述 参考资料 近期,知道创宇404高级威胁情报团队在日常跟踪过程中发现了仿冒国家重要单位及网络安全厂商员工系统的钓鱼网站,通过该网站关联捕获到了一批样本,并最终确认该批样本疑似属于银狐团伙常用的Winos远控样本。与以往曝光不同的是,本次捕获的多个样本不仅使用VMP壳进行代码保护, 仿冒目标更是一改一贯作风,以往曝光的银狐攻击活动主要是针对财税人员仿冒税务财务相关链接及网站,本次将矛头直指国家单位及安全厂商。这让我们不得不重新审视该黑产团伙的攻击目的,只是单纯的黑产团队还是隐藏在黑产背后的APT攻击行为。 随着样本分析和溯源的加深,我们还发现了该团伙的powershell混淆工具(Out-EncodedSpecialCharOnlyCommand),以及一个此前未曾曝光的downloader木马。
………………………………
