情报速递20240705｜“银狐”变种木马正通过随机化特征进行攻击

文章预览

1.背景 腾讯安全科恩实验室（以下简称“腾讯科恩”）持续基于多源数据的威胁情报分析，以及系统自动化方式，追踪捕获基于钓鱼样本的攻击事件。近日，腾讯科恩发现“银狐团伙”正通过随机化特征的方式对抗安全软件的检测，具体行为包括样本文件hash随机化和C2地址批量生产。在情报自动化分析系统中，我们在同一天会捕获到大量的相似样本，样本之间仅存在少量字节不同，疑似通过自动化工具批量生成。同 时C2 IP地址也存在A段、B段相同的情况，疑似从网络服务商批量购买了IP地址用作远控木马的C2服务器。　 同时间段出现的高度相似钓鱼样本列表： md5 文件大小 发现时间 5c08352f8dcf3b2a41122f249d03b942 25297456 2024-06-20 09:42:28 30c9bffeef7c5598279030e7e5675547 25297456 2024-06-20 10:51:04 93a50397e4d616811e8f4e75d60446e0 25272320 2024-06-20 10:58:10 5578bca9c64b768a9ed0202546dbf139 25297 ………………………………