1        概览

近期，安天CERT监测到“游蛇”黑产团伙发起的新一轮钓鱼攻击活动。在本轮攻击中，该团伙将恶意程序伪装成图片文件，利用电商平台、社交软件等途径发送给目标用户，诱导用户执行。该恶意程序下载多个载荷文件，在受害主机中实现持久化，并最终投递Gh0st远控木马变种进行远程控制。

安天CERT曾在《“游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析》[1]中，对该黑产团伙利用以“发票”为主题的钓鱼邮件发起的大规模攻击活动进行了详细介绍。该黑产团伙不断更新攻击载荷，使用多种方式传播恶意程序，持续进行钓鱼攻击活动。

通过对本轮攻击活动进行关联分析，安天CERT发现“游蛇”黑产团伙使用的基础设施和友商发布的“谷堕”、“银狐”团伙存在关联，在与攻击者服务器存在通信的样本中发现相似的PDB路径特征，并在相关攻击载荷中发现同源特征，因此认为是同一黑产团伙。

表 1‑1 攻击活动概览

经验证，安天智甲终端防御系统（简称IEP）、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对该恶意软件的有效查杀。

2        防护建议

为有效防御此类攻击，提升安全防护水平，安天建议个人及企业采取如下防护措施：

2.1        个人防护

1.提升网络安全意识：保持良好的上网习惯，积极学习网络安全相关知识；

2.避免点击来历不明的文件：检查后缀名及文件类型，警惕伪装成图片、文档的可执行程序及各种脚本文件。

2.2        企业防护

1.网络安全培训与安全演练：定期开展网络安全培训与安全演练，提高员工网络安全意识；

2.安装终端防护软件：安装反病毒软件，建议安装安天智甲终端防御系统；

3.部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

4.安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查。安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）、安天智甲云主机安全监测系统、安天智甲容器安全检测系统均可实现对该恶意软件的有效查杀。

图 2‑1安天智甲实现对用户系统的有效防护

3        技术梳理

在此次攻击活动中，该团伙投放的恶意程序利用图标伪装成图片文件，运行后使用WMI查询CPU温度以检测当前环境是否为虚拟机，检测通过后从C2服务器中获取多个载荷文件。该恶意程序利用其中的Videos.jpg掩饰其恶意行为，让用户误认为自己打开的确实是一个图片文件。

表 3‑1下载文件列表

36.exe将自身程序中名为“TXT”的资源写入C:\1.txt文件中，并将该内容转换为Shellcode；该Shellcode解码并执行一个可执行程序，最终为Videos.exe创建计划任务。Videos.exe下载执行WinService.exe，WinServices.exe读取service.log文件的内容，将其转换为Shellcode，并最终执行Gh0st远控木马变种。本轮攻击活动的整体流程图如下图所示。

图 3‑1攻击流程图

4        样本分析

4.1        恶意文件下载器（清单文件.exe）

清单文件.exe利用图标伪装成图片文件。

图 4‑1伪装成图片文件

该程序运行后，使用WMI查询CPU当前温度，从而检测当前环境是否为虚拟机，若不能够成功查询则结束当前进程。检测通过后在C:\ProgramData中创建install.inf文件作为感染标识。

图 4‑2查询CPU温度

创建install.inf文件后，该程序从C2服务器中获取载荷文件并进行指定的操作，最终删除36.exe。

图 4‑3获取载荷文件

4.2        36.exe

36.exe中含有名为“TXT”的资源，其中包含经过混淆处理的Shellcode。

图 4‑4“TXT”资源

该程序将“TXT”资源内容写入C:\1.txt文件中，读取并转换为Shellcode写入内存中执行。

图 4‑5执行Shellcode

该Shellcode解码并执行一个可执行程序，该程序遍历当前系统中运行的进程，检查是否存在360Tray.exe进程，随后尝试更改权限并最终为C:\ProgramData\Videos.exe创建计划任务。

图 4‑6创建计划任务

4.3        Videos.exe

Videos.exe从C2服务器中获取载荷文件并执行。

图 4‑7获取载荷文件并执行

4.4        WinService.exe

WinServices.exe读取C:\ProgramData\service.log文件的内容，将其转换为Shellcode并写入内存中执行。

图 4‑8执行Shellcode

该Shellcode中含有最终的DLL文件，调用该DLL文件的导出函数对其进行加载。

图 4‑9调用导出函数

4.5        最终载荷（Gh0st远控木马变种）

最终执行的DLL是Gh0st远控木马变种，使用创建服务、添加至开机启动文件夹两种方式实现持久化，创建的服务名称为“Rsccea qocyaugm”。

图 4‑10 实现持久化

运行时，按照“IP:端口:服务名称”的格式创建互斥量，随后与C2服务器进行通信，并使用指定的XOR算法对接收的消息进行解密。

图 4‑11解密接收的消息

该DLL具有下载执行其他文件、监控剪贴板、指定路径文件窃密、键盘记录、远程控制等多种功能。

图 4‑12其他功能

5        事件对应的ATT&CK映射图谱

针对攻击者投递远控木马的完整过程，安天梳理本轮攻击事件对应的ATT&CK映射图谱如下图所示：

图 5‑1技术特点对应ATT&CK的映射

攻击者使用的技术点如下表所示：

表 5‑1事件对应的ATT&CK技术行为描述表

6        IoCs

参考资料 

[1]“游蛇”黑产团伙针对国内用户发起的大规模攻击活动分析

https://www.antiy.cn/research/notice&report/research_report/20230518.html