记住三不原则，别让骗子偷走孩子的成长津贴！

“您好，这里是卫健委，您的3600元育儿补贴已到账，请点击链接申领！” 收到这样的短信，新手妈妈陈女士瞬间警觉，想起社区民警的提醒：“主动找你发补贴的，都是诈骗！”她果断删除了短信。

然而，骗局远不止于此。有人接到自称“人社厅”的电话，险些报出银行卡号；有人在妈妈群里随手扫了个“补贴二维码”，账户存款被洗劫一空。

这背后，是一张由信息泄露、精准定位和多渠道攻击编织的精密骗网。

一、骗子为何盯上育儿补贴？

骗子之所以能直呼其名、甚至报出您孩子的出生信息，关键在于他们掌握了非法获取的个人数据。

1. 政策窗口期被利用：2025年7月，国家《育儿补贴制度实施方案》正式实施，规定对0-3岁婴幼儿每年发放3600元补贴。在官方线上渠道（8月31日前）尚未全面开通的“时间差”里，骗子们闻风而动，抢先布局。

2. 黑灰产数据泄露：骗术的起点，始于您信息的泄露。在暗网等非法渠道，包含“母亲身份证、母亲姓名、联系电话、新生儿姓名、出生年月”等精准数据已被打包售卖。骗子手握这些信息，伪装成官方人员时足以以假乱真，让您瞬间放下防备。

二、诈骗套路再升级！4大渠道全解析

套路1：【短信轰炸】+ 钓鱼链接

这是最经典的套路。骗子冒充卫健委、财政局，发送含“3600元补贴待领取”“24小时失效”等字眼的短信，并附上高仿政府网站的钓鱼链接。

• 请注意：这些假冒网站域名会进行伪装，如将后缀 .gov.cn（真官网）篡改为 gov.com.cn 或 g0v.cn，一字之差，就是陷阱。

 △图片来源：昭阳警方

套路2：【电话“客服”】+ 精准下套

“您好，是XX妈妈吗？这里是人社厅，看到您申请的育儿补贴还未到账，请提供卡号，我们后台为您查一下。”

• 特点：骗子能准确说出您的姓名，以“帮您解决问题”为由，表现得非常“热心”。当您稍有迟疑，他们就会催促您点击其随后发来的短信链接，或是在电话里直接套取银行卡号和验证码。

• 破绽：这类骗子往往口音不符、业务生疏，被多问几句就会支支吾吾，甚至慌乱挂断电话。反诈中心监测到此类通话后，可能会立即向您发送预警提醒。

套路3：【社群渗透】+ 病毒二维码

深夜或午休时段，在母婴群、业主群里突然出现这样的消息：

“@所有人《2025年度综合补贴》申领办理通知，育儿、社保、医保补贴已下发！（请于XX月XX日前认证，逾期作废）”

并附上一张二维码，引导您“扫码进入小程序自助申请”。

• 危险：这不仅是钓鱼陷阱，背后可能还隐藏着更深的技术攻击。有骗子会先通过木马病毒远程控制某位群友的电脑或手机，再用其微信将诈骗信息发到群里，使其看起来像是来自“熟人”的分享，极具迷惑性。

△图片来源：网络

套路4：【连环设套】+ 盗空存款

无论入口是短信、电话还是二维码，最终目的都是引诱您进入以下三步，盗空您的存款：

1. 第一步：诱导点击链接/扫码 → 填写身份证、银行卡号、预留手机号。

2. 第二步：以“验证身份”“授权到账”为名，索要您收到的短信验证码（实为转账授权码）。

3. 第三步：要求您开启人脸识别或屏幕共享，一旦照做，您的账户将彻底暴露，瞬间完成盗刷。

钓鱼网站页面

三、牢记“三不三查”防骗口诀

✅ 三不原则

1. 不点击：政府绝不会通过短信、微信链接发补贴！

2. 不泄露：银行卡密码、验证码、人脸信息打死不说！

3. 不交钱：凡收“手续费”“保证金”的都是骗子。

✅ 三查行动

1. 查渠道：线上仅认准 支付宝/微信官方小程序、省级政务平台（8月下旬开放）；线下到户籍地街道办办理。

支付宝搜索页面

微信搜索页面

2. 查网址：政府网站域名必含 .gov.cn，其他一律拉黑。

3. 查来源：拨打当地卫健委、街道办公开电话核验（骗子最怕你主动联系真部门）。

四、万一中招，紧急挽救3步走

1. 立即冻结：拨打银行客服挂失银行卡；

2. 修改密码：火速重置手机银行、支付软件密码；

3. 果断报警：保留证据拨打110或反诈专线96110。

📌 关键提醒

“真补贴不怕晚，国家的承诺绝不漏发一人”

截至2025年8月28日，各地育儿补贴尚未开通线上申领！凡主动联系你的“工作人员”，都是披着羊皮的狼。

守住孩子的成长津贴，从记住这句话开始：

不贪快、不轻信、不转账，认准 “.gov.cn” 和 街道办窗口，才是领到3600元的正道！

提高警惕是最好的“防火墙”。与此同时，作为您的安全伙伴，我们也在背后默默努力。

目前，毒霸已经能够成功拦截最新的育儿补贴相关诈骗链接。未来我们也会持续关注，第一时间更新应对策略。

阅读原文

跳转微信打开

"银狐"新进展：多Rootkit配合，内核InfinityHook+穿透读写

攻击背景

近期金山毒霸安全团队接到多位用户求助，发现在未操作电脑的情况下，鼠标自行移动操作微信，群发多个病毒文件。安全工程师介入分析后发现这是新型"银狐"远控木马。之后的溯源排查中发现病毒来源于搜索引擎推广，攻击者批量投放多个仿冒下载页涉及 CMake、Chrome浏览器、快连 VPN、Gmail邮箱客户端等软件，目标群体广泛。本次样本在隐蔽性上进一步提升，在运行中释放多个RootKit驱动程序，利用InfinityHook内核hook技术挂钩系统进程遍历Api达到隐藏自身进程的目的，为了进一步持久化使用内核读写穿透移除或禁用安全软件在内核的回调函数，达到致盲AV和EDR等安全软件。应用层最终加载”winos“远控木马来操控用户设备。

执行流程：

1.核心驱动

  rwdriver.sys

功能为读写任意地址数据，进行拷贝覆盖。驱动使用的为泄露的“中兴通讯股份有限公司”过期签名

Pdb符号显示这是一个在桌面编译的 rwdriver开源内核穿透读写项目。

驱动接收控制码请求后，对指定地址进行读写操作

Cndom6.sys

驱动签名为“深圳市至高通讯技术发展有限公司”的过期签名。该驱动使用 InfinityHook 技术实现内核 API HOOK，通过针对不同系统版本设置特定偏移值，配合 SSDT 表定位目标函数地址，从而实现对系统关键 API 的 HOOK 操作。

由于 Windows 系统通过内置的 PatchGuard（内核补丁保护）机制，对包括 SSDT 表项、NotifyRoutine、ObRegisterCallback 等多个关键内核结构进行完整性校验，防止篡改系统核心逻辑。一旦检测到异常修改，将立即触发系统蓝屏以防止攻击。而InfinityHook正是为了绕过PatchGuard检查hook SystemCall而生，其原理通过修改系统数据的回调指针获得控制权，再遍历堆栈数据查找SSDT函数修改为自己的函数达到hook效果。早期以ETW的回调数据结构作为切入点，后来微软补丁更新后被修复，但开源项目中依然有开发者不断寻找系统新的利用点更新这个项目。 限于篇幅本文不再详细展开细述。

本次驱动主要HOOK 三个API，被HOOK API与功能如下：

驱动会获取系统版本信息，根据不同版本信息，通过遍历SSDT表获取函数地址，定位到函数地址后，HOOK为自定义函数

调用NtQuerySystemInformation，API执行时如果判断为被保护进程，则进行断链隐藏进程，非保护进程则执行正常API函数调用，返回正常结果

调用NtOpenProcess，判断为保护进程后，则返回错误码0xC0000022，实现禁止其它进程获取保护进程句柄

调用NtDuplicateObject，判断保护进程后，则返回错误码0xC0000022，禁止其它进程复制进程句柄

XiaoH.sys

该驱动签名为“上海启思教育科技服务有限公司”的过期签名。其主要功能是通过获取 nsiproxy.sys 驱动对象，劫持其 IRP 回调函数指针，实现对网络连接枚举流程的拦截与篡改。Windows 中nsiproxy.sys是负责与 “Network Store Interface” 服务交互，向用户态提供网络连接状态、TCP/UDP连接表等网络状态数据。

用户态程序例如netstat、tasklist等，会通过IOCTL发送请求到 nsiproxy.sys，由其转发至内核中TCP/IP协议栈，读取网络连接状态，攻击者通过定位nsiproxy驱动对象，获取函数指针进行HOOK，当其它程序枚举网络连接时，拦截处理并返回一个被修改的结构，实现“隐藏通讯”的目的

获取驱动对象指针，保存原始回调函数，根据偏移修改 nsiproxy.sys 驱动对象结构体的回调函数指针，替换为自定义 Hook 函数

执行HOOK函数后，当调用此回调函数时，会判断是否为受保护进程，如果为受保护进程，则伪造一个虚假的结构体，隐藏网络连接行为

NSecKrnl.sys

该驱动签名为“山东安在信息技术股份有限公司”有效签名程序，由于内核结束进程操作没有有效鉴权被攻击者恶意利用，通过传入进程PID可以结束任意进程，在使用时释放在%temp%路径下，文件名称为随机名

接收控制码 0x2248E0，调用ZwTerminateProcess结束目标进程

2.初始执行

此次分析的样本由伪造的"CMake"安装包释放，采用 Inno Setup 打包，释放路径为C:\Users\Public\Documents\WindowsData 目录，在目录中释放多个文件用于后续执行，其中main.xml和me.key都是压缩包文件，解压密码分别为“Server8888”、“htLcENyRFYwXsHFnUnqK”，在执行过程中解压执行,释放文件列表如下：

样本执行时调用unzip.exe解压main.xml释放man.exe，执行后调用main.exe、bypass.exe、NtHandleCallback.exe，并启动服务 rwdriver.sys，并在执行 main.exe 后通过遍历系统进程，找到杀毒软件执行目录删除杀软的可执行文件

man.exe启动后执行 NtHandleCallback.exe ，并注册rwdriver.sys驱动，等待服务启动成功后执行 main.exe，

成功启动服务和 main.exe 后，遍历杀软进程，其本意是想通过main.exe覆盖 MiniFilter回调函数后，遍历杀软进程获取文件目录，并删除杀软的可执行文件，但是病毒实际运行过程中并未成功删除

通过调用系统组件 wdc.dll 中导出的 WdcRunTaskAsInteractiveUser函数，以实现计划任务的创建与执行。该函数用于以交互式用户身份运行任务，具有较高的权限，被滥用后实现持久化和权限提升。与常见的 schtasks.exe等计划任务接口相比，WdcRunTaskAsInteractiveUser具备更强的隐蔽性，调用该接口时不会触发明显的命令行行为，更容易绕过安全软件的检测。

3.杀软对抗

1.main.exe

main.exe 通过加载驱动 rwdriver.sys 获取内存读写权限，并根据系统版本进行适配。随后字节码特征匹配，定位各类内核回调函数的实际地址。命中目标回调即调用驱动接口清除函数指针，实现在不终止安全软件进程的前提下，屏蔽其对进程、线程、文件、注册表等行为的监控能力，具体清除内核回调和功能如下：

清理内核回调函数

遍历内核函数字节码特征，找到对应函数地址后调用驱动进行清除

2.NVIDIA.exe

bypass.exe执行后，调用COM接口{6EDD6D74-C007-4E75-B76A-E5740995E24C},创建一个提权对象，执行NVIDIA.exe，该文件为伪造无效的毒霸签名

NVIDIA.exe执行后会读取目录下Windows.log，通过RC4解密，密钥 “??Bid@locale@std”，解密出DLL文件后加载，具体功能为通过获取系统进程快照，不断循环遍历杀软进程，如果发现杀软进程启动则发送控制码 0x2248E0 到驱动 NSecKrnl.sys 关闭杀软进程

4.远控模块执行

NtHandleCallback.exe 使用白加黑加载 log.dll，执行后启动三个线程，分别负责：

1.WinOs 远控模块：读取  SerVer.log文件，通过密钥 "?Bid@locale@std" 进行 RC4 解密，执行远控模块。

2.进程保护：获取 NtHandleCallback.exe 的 PID，向 Cndom6.sys 驱动发送控制码，HOOK 内核 API，形成 RootKit，实现全局隐藏进程

3.Windows defender路径过滤：调用PowerShell命令，将病毒执行目录添加到Windows defender过滤目录

读取SerVer.log文件，使用密钥??Bid@locale@std通过RC4解密，解密后执行远控模块

WinOs远控模块执行后，连接远程服务器实现远控逻辑，后续长期驻留和进行信息窃取。”WinOS“远控上线配置如下

获取NtHandleCallback.exe PID，向XiaoH.sys驱动发送控制码，隐藏自身网络连接，再向驱动Cndom6.sys发送控制码，隐藏自身进程和启动自保功能

调用PowerShell将病毒执行路径加入windows defender过滤目录 C:\\Users\\Public\\Documents 躲避windows defender查杀

总结:

"银狐"目前还在不断迭代更新，通过本次分析来看该"银狐"变种更倾向于隐藏自身长期驻留用户设备，技术上还是以开源项目组合为主，末端载荷依然使用"winos"远控。本次攻击中的多个 Rootkit驱动大量使用泄露过期签名证书，甚至一些是大厂。目前一些交易市场上也存在提供泄露签名买卖，甚至驱动按次代签服务，对安全防护带来了严峻挑战。另一方面一些厂商发行版本的驱动程序对于控制码的调用没有有效鉴权，导致轻易被恶意程序利用，从近期的安全事件看此类利用层出不穷 。广大用户在搜索引擎中寻找需要的软件时，避免盲目点击首位链接，仔细甄别进入官网和正规渠道下载，以防止下载运行恶意程序。对于有发现与本文中相似异常的用户可以点击金山毒霸百宝箱中的“顽固病毒木马专杀”进行处置，或在毒霸主界面点击“客服”按钮联系7*24h在线工程师协助处置。

IOC：

    ailletll.top:8880

MD5：

    F08A735829E4E95F8922189314C124E7

    EFF329C6B8C4C980FEB0D867C7082736

    893EDFA3A3A71D71CA670424E554E04C

    4B249ACC6B88C276690514F76B781DBC

    5231A08C5286803E300AC657E37272F8

    80961850786D6531F075B8A6F9A756AD

阅读原文

跳转微信打开

攻击背景 近期，金山毒霸安全团队在日常监测中发现一批新的钓鱼攻击活动，攻击者构建大批量仿冒软件下载页面，

攻击背景

    近期，金山毒霸安全团队在日常监测中发现一批新的钓鱼攻击活动，攻击者构建大批量仿冒软件下载页面，这些软件包括TradingView、SiguaTalk、Telegram 、Clash等。并借助搜索引擎优化（SEO）手段将这些站点推至搜索结果前列，诱导用户在搜索关键词时误入钓鱼页面，从而下载携带WinOs远控木马的安装包。

    而这些被仿冒软件均为境外软件，其中TradingView是从事金融和虚拟货币交易的平台，结合末端的远控木马存在窃取加密货币的可能，同时SiguaTalk和Telegram也被大量黑灰产人员使用。我们由此推测此次攻击主要针对虚拟货币交易和黑灰产从业人员及其上下游群体。根据它的特性命名为“肥鼠”。

    “肥鼠”在免杀技术上较其它家族有明显提升，后阶段释放的恶意模块无论是主程序还是dll劫持的利用，都是在原始文件进行少量patch修改嵌入Shellcode的方式执行恶意代码，实现了对恶意逻辑的深度隐藏，与原始文件对比仅有极少量差异，整体结构契合度高，具备优良的免杀效果。

    本次分析以TradingView 伪装程序为例 ，该样本采用 Inno Setup 打包，运行后会在 C:\Users\AppData\Roaming\<随机目录> 中释放多份文件用于后续执行。

执行流程

    以下为该样本完整的多阶段执行链概览,为规避安全产品检测，攻击链条被设计为多层嵌套执行：

    第一阶段：被篡改的 overseer.exe 程序在运行后首先解密内嵌的 Repository.xml 文件，释放并启动攻击组件（GUP.exe），同时写入持久化信息，并尝试终止本地安全软件相关进程。

    第二阶段：利用合法白文件（GUP.exe） 加载经过 Patch 的 DLL 组件，实现绕过静态检测与信任机制。

    第三阶段：白文件加载 ShellCode，执行反调试与环境检查，若检测通过则加载核心远控木马，实现远程控制与命令执行。

目前观测到的白利用组件包括 GUP.exe 与 yyrun.exe 等。

详细分析

1.解密初始模块与驱动投放

    样本运行后释放的 overseer.exe（原为 AVG 的合法组件）被 Patch 修改，使其具备加载执行Repository.xml中恶意 ShellCode 的能力

• Repository.xml 被 xor 解密为 ShellCode；

• ShellCode 写入带签名的 sys 驱动（签名为TPZ SOLUCOES DIGITAIS LTDA）；

• 遍历进程，利用驱动查杀安全软件；驱动操作仅在首次执行时触发，随后自删除以降低暴露风险；

• 释放后续攻击载荷，并实现持久化；

overseer.exe 代码修改如下：

    ShellCode 在 %TEMP% 目录下释放了一个随机名称的驱动文件，该驱动为 Topaz Antifraud 反欺诈软件的内核模块 wsftprm.sys，带有 TPZ SOLUCOES DIGITAIS LTDA 的合法数字签名。该驱动存在已公开的本地权限提升漏洞 CVE-2023-52271。

    在实际利用过程中，使用目标进程PID发送IOCTL控制码（0x22201C）。驱动在接收到请求后，则调用 ZwTerminateProcess 终止进程。

遍历进程列表如下：

2.释放后续攻击载荷

    在完成初步植入后，overseer.exe 会向 C:\ProgramData\<随机目录> 写入后续组件：

• 白利用组件 GUP.exe（NotePad++ 的合法签名文件）；

• 被篡改的 libcurl.dll；

• LICENSE（加密ShellCode 反沙箱）；

• pluginRepository.xml（加密ShellCode 远控木马）；

    随后,攻击者通过COM接口（0F87369F-A4E5-4CFC-BD3E-73E6154572DD）注册计划任务，将 GUP.exe 伪装为 Edge 升级程序，实现持久化驻留。

    在计划任务执行后，GUP.exe 会加载同目录下被篡改的 libcurl.dll。该 DLL 在执行过程中会读取并解密 LICENSE 文件，其内容为第一层加密的 LoadPE 载荷。加载后，LICENSE 作为ShellCode执行，并通过检测调试器、 CPU核心数、物理内存大小等，判断自身是否在调试或沙箱环境中，规避行为分析。

下图为libcurl.dll被篡改的函数代码：

3.远控执行

    在通过环境检测后，libcurl.dll 会继续加载同目录下的另一个加密文件 pluginRepository.xml，通过解密该文件，样本最终加载的核心组件为 WinOs远控木马。

    远控木马在执行前，会进行窗口检测，识别是否存在安全分析工具或监控软件。监控的窗口包含网络抓包类工具、系统进程监控工具等，若发现此类进程执行，则一直循环等待窗口关闭。

    最终该木马会将受感染主机的系统信息、计算机名称、操作系统版本、IP地址等信息发送到攻击者服务器，并开始监听服务器命令执行多种任务,具体任务列表如下：

总结

    本次攻击活动具备高度的定向性、欺骗性与隐蔽性。攻击者通过构建仿冒软件下载站群并结合 SEO 技术精准引流，以虚拟货币相关软件为诱饵，针对特定人群实施定向投毒。样本在执行过程中采用多阶段加载、白文件利用、反调试与反沙箱检查、驱动提权等手段，实现较强的免杀效果。通过该木马实现对受害主机的持久化控制，窃取用户信息，导致信息泄露并带来资产安全风险。毒霸提醒广大用户，下载软件到官网和正规渠道下载，安装杀毒软件实时监控，避免造成损失。

IOC：

8.217.85.20:27955

MD5：

56588F31225886D9561B25B37473C2F5

0622A89B5FF66F735BF73048CBD23891

2F4B5A0D98BC4E5616F2DD04337AE674

3100CFE0F0B32082FFF6082DAC86DDCF

37A49EF7C102F96F7D4385E81FCB780E

阅读原文

跳转微信打开

一、引言

近期，DeepSeek 作为一家迅速崛起的中国 AI 公司，凭借其先进的 AI 模型吸引了全球关注。然而，随着其知名度的提升，各类安全问题也接踵而至。网络犯罪分子纷纷利用 DeepSeek 的热度，发起多种恶意攻击活动，给用户带来了极大的安全风险。本报告将对近期 DeepSeek 相关的安全事件进行详细分析，旨在揭示这些安全威胁的本质，为公众提供防范建议。

二、安全事件详述

（一）恶意软件包事件

1. 事件概述：Positive Technologies Expert Security Center 的供应链安全团队检测到，2025 年 1 月 29 日，恶意用户 “bvk”（2023 年 6 月创建账户，此前无其他活动）在 Python Package Index（PyPI）上传了 “deepseeek” 和 “deepseekai” 两个恶意软件包，目标是对将 DeepSeek 集成到系统中的开发者、ML 工程师和 AI 爱好者进行攻击。






2. 恶意软件功能：这些软件包中的函数旨在收集用户和计算机数据，并窃取环境变量。当用户在命令行界面运行 “deepseeek” 或 “deepseekai” 命令时，恶意负载就会执行。环境变量通常包含应用程序运行所需的敏感数据，如 S3 存储服务的 API 密钥、数据库凭据等。






3. 传播情况：尽管 PyPI 在收到通知后迅速删除了这些软件包，但在此之前，它们已通过 pip 包管理器、bandersnatch 镜像工具被下载 36 次，通过浏览器、requests 库和其他工具被下载 186 次 。下载地区涉及美国、中国、俄罗斯等多个国家。

4. 技术分析：从恶意软件包的代码来看，其作者使用 Pipedream 作为命令和控制服务器来接收被盗数据，并且代码中的特征注释表明该脚本是在 AI 助手的帮助下编写的。

5. 时间线：

   2025年1月29日 15:52:58	deepseeek 0.0.8 软件包首次发布
   2025年1月29日 16:13:10	deepseekai 0.0.8 软件包首次发布
   2025年1月29日 16:21:32	根据报告,这两个软件包都被隔离,无法通过包管理器下载
   2025年1月29日 16:41:14	PyPI管理员删除了 deepseeek

(二）钓鱼攻击事件

1. 事件概述：黑客组织利用 DeepSeek 的热度，伪装成 DeepSeek 客户端安装程序、官方网站等进行钓鱼攻击，诱导用户下载恶意软件、提供个人信息或进行虚假投资，从而造成用户的财产损失和隐私泄露。

2. 具体形式

• 伪装安装程序：黑客将恶意软件伪装成 DeepSeek 客户端安装程序 “DeepSeekSetup.msi”，解析该安装程序后发现，它会加载执行恶意模块 ，恶意模块编译时间为 2025 年 1 月 23 日。从代码特征分析，其与 BumbleBee 恶意软件家族代码特征基本一致。

  恶意样本特征：

样本1：- 分发地址：deepseek-umxvljvoilcnxih[.]app-tools.info- SHA256：934f87fdc0aa5bfdf4b572a7fd56e4e139fe1974396d1bbb09d2c222bdb838a0





样本2：- 分发地址：http[:]//5.61.58[.]167/files/- SHA256：31b72e1c246b4f38e70f9c8c556a626b15736589860f3231001bb4ebae74923











• 仿冒官方网站：网络上出现了大量仿冒 DeepSeek 官方网站的钓鱼网站。这些网站有的与加密货币钓鱼计划相关，诱使用户扫描 QR 码连接钱包，导致钱包账户被盗；有的虚假宣传 DeepSeekPre - IPO 股份，吸引用户投资，骗取用户资金；还有的网站收集用户的个人身份信息（PII），存在隐私和安全隐患。

• deepseek-v3[.]live

• deepseek-wl[.]com

• deepseekonchain[.]com

• deepseek-login[.]com

• deepseeklogin[.]com

• deepseeklogins[.]com

• deepseeklogin[.]xyz

• deepseeklogin[.]net

• deepseeklogin[.]me

• deepseeklogin[.]co

• deepseeklogin[.]us
















• 仿冒官方社媒账号：随着DeepSeek的破圈，其品牌传播都极具上升，国内外社交媒体网络上存在大量仿冒社媒账号，有的是在为钓鱼或者虚假加密货币引流。有的是蹭DeepSeek公司的流量，无论何种目的的仿冒账号，都影响了DeepSeek的品牌现象，并且对其目标用户构成了实际的威胁。

样本1：
- x[.]com/DeepSeek_solano



这个方面仿冒账号目的是向deepseekonchain[.]com这个仿冒网站引流，并且还转发了官方的消息假装是正规账号。

样本2：
- facebook[.]com/profile.php?id=61572622324898








国内社交媒体软件上的仿冒账号

DeepSeek官方提醒用户主页甄别仿冒社媒账号






• 虚假加密货币：随着 DeepSeek 的走红，多个区块链网络上出现了大量虚假的 DeepSeek 加密货币令牌。这些令牌市值短期内飙升，吸引了众多投资者。但 DeepSeek 官方已明确表示未发行任何加密货币，这些虚假令牌均为诈骗手段。据 Blockaid 数据，截至 2025 年 1 月 27 日，至少有 75 个此类诈骗令牌被创建 。据 Blockaid 研究分析师 Oz Tamir 称，诈骗者利用热门叙事和创建诈骗代币的速度越来越快。



在 1 月 10 日的置顶 X 帖子中，DeepSeek 写道：“DeepSeek 没有发行任何加密货币。目前，Twitter 平台上只有一个官方账号。我们不会通过其他账户联系任何人。请保持警惕，提防潜在的骗局。

（三）模型越狱事件

1. 事件概述：Palo Alto Networks 的 Unit 42 研究人员对 DeepSeek 模型进行测试，发现了三种有效的越狱技术，即 Bad Likert Judge、Crescendo 和 Deceptive Delight，这些技术能够绕过 DeepSeek 模型的安全限制，获取恶意输出。

2. 越狱技术原理及影响

• Bad Likert Judge：该技术通过让模型使用 Likert 量表评估响应的危害性，然后促使模型生成与高评分相关的示例，从而获取恶意内容。测试中，研究人员使用该技术成功让 DeepSeek 模型生成了数据泄露工具、网络钓鱼邮件模板、社会工程优化建议等恶意输出。

• Crescendo：利用模型自身知识，通过逐步提供相关内容的提示，引导对话走向被禁止的话题，直至覆盖模型的安全机制。在对 DeepSeek 模型的测试中，研究人员从询问莫洛托夫鸡尾酒的历史开始，通过一系列相关提示，最终使模型生成了制作莫洛托夫鸡尾酒的详细指南。

• Deceptive Delight：将不安全的话题嵌入良性话题的积极叙述中，先让模型创建连接这些话题的故事，再对每个话题进行详细阐述，以此绕过安全措施。测试中，研究人员使用该技术让 DeepSeek 模型生成了利用分布式组件对象模型（DCOM）在 Windows 机器上远程运行命令的脚本。

  
  

（四）数据库泄露事件

1. 事件概述：Wiz Research 发现 DeepSeek 有可公开访问的 ClickHouse 数据库，该数据库允许对数据库操作进行完全控制，暴露了超过 100 万行包含敏感信息的日志流，涵盖聊天记录、密钥、后端细节等。数据库托管在oauth2callback.deepseek.com:9000和dev.deepseek.com:9000 。



2. 发现过程：研究人员在评估 DeepSeek 公开可访问域名时，通过映射外部攻击面，发现了与特定主机相关的异常开放端口 8123 和 9000，进一步调查发现这些端口关联到无需认证即可访问的 ClickHouse 数据库。



3. 数据泄露影响：此次泄露不仅使攻击者能够获取敏感日志和明文聊天消息，还可能利用 ClickHouse 配置，通过类似 “SELECT * FROM file ('filename')” 的查询直接从服务器窃取明文密码和本地文件。



4. 事件处理：Wiz Research 及时向 DeepSeek 披露问题，DeepSeek 迅速对数据库进行了安全加固，防止数据进一步泄露。

   
   

三、安全事件综合分析

（一）攻击手段特点

1. 利用热点和信任：网络犯罪分子紧密跟踪技术热点，利用 DeepSeek 的高人气，通过伪装成官方产品、服务或投资机会，利用用户对 DeepSeek 的信任进行攻击，具有很强的欺骗性。

2. 技术手段多样且隐蔽：结合 AI 编写恶意代码、利用开源平台传播恶意软件、通过精心设计的越狱技术绕过模型安全机制等，攻击手段越来越复杂隐蔽，增加了检测和防范的难度。

3. 多领域协同攻击：涵盖了软件供应链（恶意软件包事件）、网络钓鱼（仿冒网站和虚假投资）、数据安全（数据库泄露）以及 AI 模型安全（模型越狱）等多个领域，形成了全方位的攻击态势。

   
   

（二）安全事件的影响

1. 用户层面：导致用户的个人信息泄露、财产损失，如加密货币钱包被盗、投资被骗等，同时也可能使设备感染恶意软件，影响设备的正常使用和数据安全。

2. 企业层面：DeepSeek 的品牌声誉受损，用户对其信任度下降；企业需要投入大量资源进行安全修复和用户安抚，增加运营成本；同时，整个 AI 行业的信任环境也受到冲击，影响行业的健康发展。

3. 社会层面：大量的安全事件引发公众对 AI 技术安全性的担忧，阻碍 AI 技术的推广和应用；网络犯罪活动的增加也给社会安全带来不稳定因素。

四、防范建议

（一）用户层面

1. 谨慎下载和使用：只从 DeepSeek 官方网站（www.deepseek.com）下载官方正版 App，避免从不可信的网站下载文件或软件包。对于新出现的与 DeepSeek 相关的应用或服务，要仔细核实其真实性。

2. 警惕网络钓鱼：不轻易点击来自未知来源的链接，尤其是那些声称与 DeepSeek 相关的邮件、短信或社交媒体消息中的链接。对于仿冒官方网站的钓鱼网站，要注意识别网站 URL、页面布局和内容细节等方面的差异。在涉及资金交易或提供个人信息时，务必谨慎确认对方身份。

3. 加强安全意识培训：学习基本的网络安全知识，了解常见的网络攻击手段和防范方法。关注安全机构发布的安全提示和威胁情报，提高自身的安全防范意识。

4. 使用安全防护工具：在设备上安装可靠的反病毒和互联网安全软，开启实时防护功能，及时检测和拦截恶意软件、网络钓鱼攻击等。同时，启用设备和应用程序的多因素身份验证（2FA）功能，增加账户的安全性。

   
   

（二）企业层面

1. 强化供应链安全管理：对于使用的第三方软件包，要进行严格的安全审查，建立软件成分分析（SCA）机制，及时发现和处理恶意软件包。与供应商保持密切沟通，及时获取安全更新和漏洞修复信息。

2. 加强 AI 模型安全防护：针对 AI 模型，持续优化安全机制，提高对越狱攻击的检测和防范能力。定期对模型进行安全评估和测试，及时发现和修复潜在的安全漏洞。同时，加强对员工使用 AI 模型的管理和监控，规范使用行为。

3. 提高应急响应能力：建立完善的应急响应机制，一旦发生安全事件，能够迅速采取措施进行处理，降低损失。及时向用户和相关机构通报安全事件情况，积极配合调查和处理工作。

4. 加强品牌保护和用户沟通：加强对品牌的保护，及时发现和打击仿冒品牌的行为。通过官方渠道及时向用户发布安全提示和相关信息，增强用户对企业的信任。

五、结论

DeepSeek 相关的安全事件给用户和企业敲响了警钟，在享受 AI 技术带来便利的同时，必须高度重视网络安全问题。网络犯罪分子利用新技术进行攻击的手段不断翻新，用户和企业需要不断提升安全意识，加强安全防护措施。同时，AI 行业也应加强自律，推动安全标准的制定和完善，共同营造安全可靠的网络环境。

六、参考链接

1. https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak

2. https://global.ptsecurity.com/analytics/pt-esc-threat-intelligence/malicious-packages-deepseeek-and-deepseekai-published-in-python-package-index

3. https://mp.weixin.qq.com/s/u5coDiS5lXKjENlu1ghcoQ

4. https://www.welivesecurity.com/en/cybersecurity/scammers-exploiting-deepseek-hype/

5. https://cyble.com/blog/deepseeks-growing-influence-surge-frauds-phishing-attacks/

6. https://cointelegraph.com/news/scam-tokens-surge-deepseek-ai-viral

7. https://unit42.paloaltonetworks.com/jailbreaking-deepseek-three-techniques/

阅读原文

跳转微信打开

小张是某公司的财务，一天她急需处理一份PDF文件。搜索"PDF转换器"时，第一条就是某知名PDF软件的"官方下载"页面。

界面非常专业，还标注"企业版已被10000+公司采用"。小张想都没想就点击了下载...

三天后，公司老板联系小张说因业务需求要紧急向一个账户汇入大额资金，因为昨天老板就和小张聊过这个业务的相关资金信息，所以没有过多的犹豫马上向提供的账号进行汇款。

后面在进行业务确认的时候发现被骗，报警后经过排查发现小张下载的"PDF转换器"就是臭名昭著的"银狐"病毒，电脑感染后就一直监控着小张的一举一动，在看到小张和老板因业务资金进行讨论后一步步引导小张落入陷阱，资金也在汇入对方账户后马上通过国外某奢饰品商店进行消费导致追回无望。

具体行为分析请看：

利用Python启动远控，"银狐"对抗又升级

“银狐”变"隐狐",最新攻击透视

近期，"银狐"黑客团伙精心打造了一个庞大的仿冒软件下载生态系统，专门针对各类常用软件：

生活娱乐类：喜马拉雅、全民K歌、酷狗音乐、美图秀秀...

办公软件类：WPS、飞书、PDF转换器...

浏览器类：搜狗、谷歌浏览器...

财务软件类：用友、合思、管家婆...

系统工具类：鲁大师、驱动精灵...

远程办公类：向日葵、TeamViewer...

投资理财：雪球、同花顺、东方财富...

专业工具类：AutoCAD、Adobe Photoshop...

他们的套路有多深？

• 完美复制：仿冒页面与官方网站相似度达90%以上

• 虚假数据：伪造企业用户数量、下载量

• 搜索引擎竞价：花重金占据搜索首位

• 捆绑木马：安装包里藏着窃取信息的病毒

  
  

如何避免中招？

• 始终从官方渠道下载

• 通过软件官网（注意核实网址）

• 企业统一采购的正版软件

• 可信的企业应用商店

  
  

下载前多留心

• 网址是否正确（不要轻信搜索排名靠前的）

• 界面是否有可疑之处

• 用户数量、好评是否夸张

• 安装包大小是否异常

如果已经中招：

• 立即断网隔离受感染设备

• 使用安全软件彻底查杀

• 紧急修改企业各类账号密码

• 排查资金账户异常

• 保存证据及时报警

作为老牌安全厂商，金山毒霸始终守护在网络安全第一线。

面对不断升级的网络威胁，我们将持续提供专业的安全防护，让每个企业都能专注业务发展，高枕无忧！

欢迎转发提醒身边的同事，防范风险从点滴做起~

阅读原文

跳转微信打开

什么是"杀猪盘"？

当前流行的"杀猪盘"手法

1. 假冒知名证券、交易所网站

2. 冒充公司高管或内部员工

• 高管租房：假装是来某地出差的公司高管，需要租房。

• 内部测试：谎称正在进行系统内部测试，需要"配合"。

  
  

3. 许诺高回报，诱导加大投资

诈骗套路情景复现

识破诈骗的关键点

在这段对话中，我们可以发现几个明显的诈骗迹象：

1. 沟通方式异常：拒绝电话沟通，坚持使用微信。

2. 对房屋细节不关心：正常租客会关注房屋位置、条件等。

3. 爽快答应条件：不讨价还价，直接同意支付一年房租。

4. 押金延期：要求押金延后支付，这很不寻常。

5. 身份证问题：提供的身份证照片缺少常见的安全特征(如水印)。

6. 个人信息矛盾：年龄与经历不符，对深海市的描述前后矛盾。

7. 过分热情：不像是在租房，而更像是要交友。

   
   

如何防范"杀猪盘"？

1. 警惕高回报承诺：任何承诺"稳赚不赔"或"超高回报"的投资都值得怀疑。

2. 核实网站真实性：仔细核对网址，确保是官方网站。可以拨打官方客服电话进行确认。

3. 不轻信陌生人：对于突然出现的"贵人"保持警惕，特别是那些主动提供"内幕消息"的人。

4. 保护个人信息：不要轻易向他人透露银行卡号、验证码等敏感信息。

5. 选择正规渠道：只通过官方认可的APP或网站进行交易，不要使用来路不明的平台。

6. 注意沟通方式：警惕那些拒绝正常沟通方式(如电话)的人，特别是坚持使用特定app或平台的要求。

7. 验证身份真实性：如果对方提供身份证明，仔细检查其真实性，包括水印、照片质量等细节。

8. 理性判断：对方如果表现出对重要细节(如租房位置)不关心，或行为模式不符合常理(如不讨价还价)，要提高警惕。

9. 及时止损：如果发现可能上当受骗，要及时报警并冻结相关账户。

投资本就是一件需要慎重对待的事情，面对"杀猪盘"这样的陷阱，我们更要提高警惕。希望大家都能够理性投资，远离诈骗，在金融市场中稳健前行！

记住：天上不会掉馅饼，稳妥投资才是王道。让我们一起，守护好自己的"钱袋子"！

阅读原文

跳转微信打开

事件概述：

详细分析：

母体样本为增强免杀能力，使用了多个开源库：ZeroMQ，Curl，Openssl等，其中执行逻辑使用ZeroMQ异步消息库框架封装了起来，通过注册事件回调异步执行，使得恶意代码隐藏在了庞大的库代码之中。

如上图所述的执行流程，共注册了4个有效的异步回调功能，“A”功能用于隐藏控制台窗口。“CHK”用于检测沙箱和虚拟机，通过枚举系统ACPI固件表识别。检测通过后执行“DLS”和“EC”，这两个步骤组合执行，先通过“DLS”下载payload解密后再传入“EC”执行shellcode。

IOC：

1e9ccf31bb24a3514171c3dcb19078ef

31eedd8d089ede700293719349f05d19

2b740ac0d2410d5f0bab45a3b3abbaf8

8870064f7582692e18fab0f400a1712a

78d8676c7142848aadfbd83a79284408

7b5798ffeb106b976f5afbd2c9fd774c

a1.jiesheng18[.]com

https[:]//cdn.nlark[.]com/yuque/0/2024/gif/48190910/1725488215950-f5cc8160-597e-4065-9afd-06bebb8ad56c.gif

https[:]//jockeraaa.oss-cn-beijing.aliyuncs[.]com/27_$92_

https[:]//dddxas.oss-cn-beijing.aliyuncs[.]com/commen2/c/static/0

https[:]//dddxas.oss-cn-beijing.aliyuncs[.]com/commen2/c/static/1

https[:]//dddxas.oss-cn-beijing.aliyuncs[.]com/commen2/pf/3

https[:]//dddxas.oss-cn-beijing.aliyuncs[.]com/commen2/psc/29_$10_

https[:]//dddxas.oss-cn-beijing.aliyuncs[.]com/commen2/c/static/a

8.218.198[.]10

References：

https://www.blackhat.com/eu-23/briefings/schedule/#the-pool-party-you-will-never-forget-new-process-injection-techniques-using-windows-thread-pools-35446

https://github.com/SafeBreach-Labs/PoolParty

https://github.com/hfiref0x/UACME/blob/ce6fb5ffe5dc33e5918d7512df558720d46890a0/Source/Akagi/methods/tyranid.c#L514

阅读原文

跳转微信打开

7月19日全球多国Windows系统出现蓝屏，已对多国包括航空、铁路、银行、企业、媒体等在内的多领域造成影响。

7月19日全球多国Windows系统出现蓝屏，已对多国包括航空、铁路、银行、企业、媒体等在内的多领域造成影响。

据悉，故障是由于全球知名安全厂商CrowdStrike的EDR产品一次错误更新或错误配置导致了此次全球范围的技术故障问题。CrowdStrike已在其官网发布公告表示正在全力以赴保障客户的安全性和稳定性。

目前的解决方案：

1.将Windows 启动到安全模式（Safe Mode）或 Windows 恢复环境（Windows Recovery Environment）

2.进入到 C:\Windows\System32\drivers\CrowdStrike 目录

3.找到与 C-00000291*.sys 匹配的文件，并删除它

4.重新启动主机

References：

Statement on Windows Sensor Update - crowdstrike.com 

https://www.crowdstrike.com/blog/statement-on-windows-sensor-update/

阅读原文

跳转微信打开

事件概述：

近期毒霸安全团队在日常威胁狩猎过程中发现”银狐“组织正利用搜索引擎推广广告页投递远控后门，该团伙在投放落地页时异常狡猾，这些下载页面只会在特定时间，特定ip地域才会激活，其它时候无法打开或下载都是正常投放的推广包，且下载地址和页面域名基本每天都在更换，躲避审查和防止安全人员追踪分析。以下为其中一个投放页面。

下载后样本多以 "安装包_xxx.exe","SETUP_xxx.exe"命名，文件版本信息伪装多个知名软件信息且附加了无效的数字签名。在分析中发现该样本具备高度的隐蔽性、对抗性和复杂性，内部多层次内存加载，涉及各类模块和shellcode接近20个，且多个模块使用vmp加壳并对入口点和导出函数使用指令虚拟化保护，阻止安全人员分析。同时在杀软的特征扫描，模拟引擎，云查，主动防御方面都有规避措施，在技术上相较于先前的银狐样本又有了新的提升。下图为样本的整个攻击流程。

详细分析：

母体样本经过膨胀，大小在10~15M之间，膨胀方式有文件末尾附加数据填充0字节或”.data“区段填充

母体主要代码是分配可执行内存，执行内嵌的一段自解密shellcode。在shellcode中会使用多种方式检查自身是否运行在真实环境，并对ETW NtTraceEvent函数和AMSI AmsiScanBuffer函数进行patch。反调试方面使用GetTickCount64 和_rdtsc指令检查执行时间。以上检测到异常则退出运行。以下是对模拟环境或沙盒的检测部分。

检测通过后会判断是否存在360相关杀软进程和窗口类名，如果存在则尝试投递线程消息关闭窗口，如果无法关闭会继续下载一组反杀软组件，针对国内主流的杀软。再无法关闭就会弹出窗口诱骗用户退出杀软。最后会下载后门远控组件运行。

反杀软组件分析：

首先需要获取一份组件下载链接配置表 ”https[:]//557o.oss-cn-hangzhou.aliyuncs[.]com/i.dat“ 解密后得到后续需要下载文件的链接，如下图，这些存储链接有效期只有2~3天，新的链接会随着新样本的更新而更新。

下载这些文件具有特殊的结构，并且落地的文件会在特定偏移处填充随机值修改hash，这样每个用户每次下载的文件hash值都不一致。在这些下载文件中大部分会使用如下两种加密文件格式，由文件头+加密payload+解密偏移+解密key组成，或搜索特定起始标记确定payload位置。解密方式使用末尾的key循环异或或者RC4算法。

文件下载完成后需要另外一个组件添加到计划任务执行。下载地址"https[:]//557o.oss-cn-hangzhou.aliyuncs[.]com/s.jpg"。“s.jpg”解密出一段shellcode，shellcode内嵌一个压缩后的PE模块，解压后在内存中加载，调用导出函数”RegisterTask“添加计划任务

与普通COM方式添加计划任务不同，此处通过RPC命名管道”ncacn_np:[\\pipe\\atsvc]“，再构建出需要添加计划任务的xml，直接调用底层API"NdrClientCall3" 发起调用添加计划任务，绕过一些AV或EDR对计划任务的拦截。计划任务在添加后立即执行，并且每分钟触发一次。被添加的反杀软组件是一组白+黑 但是exe和dll以及后续payload被分开在两个目录存放，所以在计划任务中设置工作目录在Pictures目录。

计划任务启动后会加载"KOBDrvAPIIFFax.dll"模块，该模块使用VMP加壳保护，并对入口点和导出函数使用指令虚拟化。模块加载后会读取“1.gif”并搜索特征“0x96 0x3B 0x47 0x5f 0x66”确定payload起始，使用RC4算法解密，key为：0xAFCDA6C9E7A22EAB。解密后的payload会覆盖当前主进程从OEP开始往下的代码，这样当模块全部加载完成后主进程的OEP得到执行时机。

执行覆盖后的shellcode继续解密"2.jpg"，解出模块后内存加载并调用导出函数“run”执行，该模块依然是VMP保护，模块内部导出dll名“bp360.dll”，核心功能就是结束杀软进程。

方式1：下载驱动结束杀软。源于github项目“TrueSightKiller”，这是国外一款反恶意软件工具驱动，可以在内核结束指定pid的进程。由于没有有效的鉴权导致被滥用。下载地址“https[:]//557o.oss-cn-hangzhou.aliyuncs.com/s.dat”,解密后存放到"C:\Windows\System32\drivers\torpl.sys"路径下。驱动加载后会循环检测如下图杀软进程，发送控制码结束对应的进程。

方式2：在应用层实现，通过NtQuerySystemInformation枚举全局进程句柄寻找指定杀软进程的EPROCESS对象指针，判断拥有该指针的句柄的进程是否有进程读写权限，如果找到则构建一段shellcode注入指定进程(一般为系统关键进程)，并创建远程线程执行。这段shellcode在目标进程内用高权限打开杀软进程并调用TerminateProcess结束进程。

后门组件分析：

在上步完成后开始下载后门组件，与前面一致先下载一份配置表 ”https[:]//3o6.oss-cn-beijing.aliyuncs[.]com/f.dat",解密后得到后续需要下载文件的链接，如下图，与上文一致下载文件落地全部会更改hash。

dPE4LV.exe 和hpbcfgui.dll是一组白+黑利用，其中dPE4LV.exe是惠普某打印机驱动组件，具有有效数字签名，hpbcfgui.dll被vmp壳保护。为了保证文件填充随机数后数字签名仍然有效，数字签名区段被扩充，随机值被填充在此区域。证书区段设置了一个标记“0xFB 0xAD 0xFC 0xEF 0xFE 0xCF 0xDA 0xBF” 此标记前两字节填充随机数，此标记后的数据是隐藏的加密shellcode。hpbcfgui.dll被加载后会解密该区域的shellcode执行，加密算法RC4密钥:"9`MGQm6NNijRond"。

shellcode执行后继续解密“log.src”文件，解密出的模块依然是vmp保护模块，该模块内部导出dll名“S.dll”。内存加载后调用导出函数CLRCreateInstance执行。

“S.dll”模块中包含上文中的绝大部分反杀软功能，此外还包括注册表禁用UAC，添加到Windows Defend排除目录，拷贝自身目录文件添加计划任务和利用重启管理器结束“360tray.exe”进程。

最后解密“utils.vcxproj” 文件，解密出的模块是Gh0st变种远控后门，并在内存中加载调用导出函数edge执行。与使用主控端直接在生成后门时填充地址不同的是，此处把上线地址配置化了，读取“utils.vcxproj” 文件头部中指定偏移处的C2填充到远控中特定位置。使用IP+域名双上线方式, "47.76.172.225:7000" 和"rasewx[.]net:7073"

总结

在本次深入分析中，我们全面揭示了该黑产组织的攻击策略、规避手段及其对抗杀毒软件的能力。显然该组织在技术层面已经展现出与高级持续性威胁（APT）相当的攻击能力。从搜索页面SEM投放直至攻击行为，以及对抗杀毒软件的全过程，均显示出背后有专业技术支持团队。在攻防战中“知己知彼,百战不殆”，安全厂商与该组织的较量也将会长期持续。我们强烈建议广大用户和企业提高网络安全意识，通过官方渠道下载应用，避免运行未知程序，从而保护自身数据安全。

IOC

df2f4aad13fb6d08332e09fd47cd0c98

f1b23b111e25b07d395e489c52eeeb40

https[:]//557o.oss-cn-hangzhou.aliyuncs[.]com

https[:]//3o6.oss-cn-beijing.aliyuncs[.]com

47.76.172.225

103.207.167.4

rasewx.net

阅读原文

跳转微信打开

近期，鹰眼情报中心监测到一批通过仿冒"快连VPN"的恶意安装包攻击事件。

事件概述

流程分析

详细分析

总结

IOC

MD5

55AC90618D7D966C9DBAC56918669028

52EA01A560C104A2BFE5873051C2CA04

0D92B5F7A0F338472D59C5F2208475A3

4E34C068E764AD0FF0CB58BC4F143197

C2

14.128.50.22

https://14-22a.oss-cn-beijing.aliyuncs[.]com/zishiying.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/qqwbclient.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/ccenter.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/dns2.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/DuiLib.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwHttp.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwHttpRequestMgr.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwLib.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwLog.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwMusicCore.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/libcurl.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/msvcp120.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/msvcr120.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/Zlib.dll

https://14-22a.oss-cn-beijing.aliyuncs[.]com/KwModConfig.dll

阅读原文

跳转微信打开

"树狼"来袭，针对企事业单位的新攻击

事件概述

近期毒霸安全团队监测到一系列通过社交软件和电子邮件传播的税务、医疗保险等相关钓鱼链接，或文档的攻击活动，攻击者使用hfs搭建文件存储服务，存放钓鱼文档和后阶段PayLoad。诱导用户点击下载后的文档中的链接。

通过hfs页面的点击次数可以看出受影响用户广泛，以下是我们近期监测到近期树狼远控攻击活动趋势，首次发现于2023年11月中旬，根据其pdb名称命名为”树狼“。

执行流程

用户下载后的文件一般以"查询端口-客户端"，"查询入口"，"电脑端查询入口"等命名，并伪装WinRAR的图标，诱导用户执行。当用户执行后将会联网拉取"树狼"远控模块，这是一种基于gh0st的远控变种，后在内存加载执行，后续远控端操作人员会根据目标下发多个功能插件模块进行定向攻击。

详细分析

该样本使用MFC编写，仅在对话框初始化函数中加入了少量的代码以降低被查杀的概率，启动后无界面显示，创建线程使用TCP连接到206.238.220.90:16037，连接后发送HEX "33 32 00"后，使用recv进行接收一段Shellcode并调用。

接收的ShellCode中含有一个dll文件，在执行到shellcode后，使用内存加载，该dll在内存中加载起来，最终调用dll的导出函数"run"。pdb全路径为："D:\HPWolftree+验证\Plugins\Release\online.pdb"。

在run导出函数内，攻击者根据判断启动参数，准备了两个分支。

在无参数分支中将自身文件复制到 %USERPROFILE%\Documents\msedge.exe 中，并将系统文件的 %SystemRoot%\System32\msiexec.exe 复制到 %PROGRAMFILES%\msiexec.exe，利用系统文件msiexec本身也会合法进行加载其他模块的特性，以试图逃避用户和安全系统的检测。最终使用" -Puppet"参数进行运行并挂起进程，使用 APC 早鸟注入把 msiexec 变为傀儡进程，注入的shellcode执行后会进行自反射加载执行。

此外run函数内会进行调用打开常见的杀毒软件进程，并对其的程序Token权限进行降权，后对杀软进程中的所有线程投递WM_QUIT信息，尝试关闭以规避杀毒软件的监控。

添加注册表开启启动项"IsSystemUpgradeComponentRegistered"，项内容为："%USERPROFILE%\Documents\msedge.exe" 以实现持久化。

当在被早鸟注入的 msiexec.exe 执行后，与前文提到的shellcode加载dll执行流程相同，不同点在于此次运行时会根据参数为" -Puppet"而进入远控加载的逻辑，上线地址同样为：206.238.220.90:16037，在上线后访问 "http://whois.pconline.com.cn/ipJson.jsp" 获取本机外网ip发送给服务器，后续会循环等待攻击发送的控制指令和模块。根据我们的内存防护监测还发现下发了以下模块："Dialogbar", "File", "HideScreen", "List", "online", "Screen", "shell", "System", "Tools"等，对应键盘监听，文件监控，屏幕监控，Shell命令执行等攻击模块。

总结

如今在复杂的网络环境下，网络钓鱼攻击不断增加和本身不断演变的性质，钓鱼手段也越来越真实和有针对性。利用压缩软件的图标吸引用户打开，并利用系统的机制攻击杀毒软件。目前这些钓鱼攻击策略的隐蔽性和多样性提醒大家，作为网络用户保持警惕和提高安全意识至关重要。我们也建议用户采取必要的预防措施，比如定期更新软件、避免打开不明链接和附件，目前毒霸已支持查杀。

IOCs(部分)

A3FD043C364D24FCE08095727AE115D0

E6A868C16B8CB2B7690D5ABB0486D7B8

9D5B13ECA172701C0F84EBC2D2CC2DBE

A68DA897C3A7AC8FF432170FF816DA27

206.238.220.90

https[:]//instq.libabacloud.com

http[:]//fyp-cn-jiagang.zxnaea.com:8002

https[:]//instq.libabacloud.com/

http[:]//fyp-cn-jiagang.zxnaea.com:8002/

http[:]//154.39.251.128/

http[:]//fdgdf.xyz:808/

http[:]//liutaoqpod.com:808/

阅读原文

跳转微信打开

近期，毒霸安全团队留意到 Cyble 研究情报实验室最新发布的 Higaisa APT 威胁活动报告，并通过鹰眼威胁情报中心又发现了该组织的其他多个钓鱼活动。

攻击事件介绍

流程概要

详细分析

1. 初始执行

此次捕获的恶意模块由伪装成 “PassGuard（密码卫士）” 的诱饵安装包释放。安装包具有数字签名 “Chengdu Nuoxin Times Technology Co., Ltd.”。在执行后，恶意安装程序释放了一个合法软件的安装包，以及一个基于 Rust 编写的 64 位恶意可执行文件 “rom.exe”，该文件的数字签名为 “Zhiya Yunke (Chengdu) Finance and Tax Service Co., Ltd.”。

2. 对抗手段

(1) 资源解密

当恶意模块被加载后，它会从自身的资源中提取一段大小为 0xE2A1 的二进制数据。然后将这些资源数据复制到内存中，并执行解密操作以获取一段 Shellcode 。最后通过间接调用 Shellcode 代码段。这个过程涉及资源加载、内存解密和动态执行 Shellcode 的操作。

(2) 反调试检查

恶意代码段中穿插使用了反调试机制，以增加对动态分析的对抗性。这一机制基于当前执行的代码段计算哈希值 (computedHash1)，并将其用于控制程序执行的流程。如果动态调试器介入并干扰了循环，导致哈希值不正确，程序将会退出函数，跳过关键步骤。

(3) 字符串、接口加密

Shellcode 中采用了关键字符加密和内存中的动态函数调用等技术。如 URL、函数名和 IP 地址等关键字符都经过了加密存储，从而增加了静态分析的难度。此外，代码在运行时动态导入了库函数，并通过内存中的函数指针来调用这些函数，进一步增加了静态分析和反编译的复杂性。这些措施的目的在于提高动态对抗性，从而提高了分析难度。

3. 网络通讯

(1) 通讯密钥

Shellcode 通过创建 UUID 计算其哈希值，在哈希的基础上生成一个 AES 密钥并保存，用于与 C&C 服务器之间的通信。

(2) 获取信息

通过配置获取代理服务器信息，检验是否可以通过代理服务器进行网络通信。

(3) 建立通讯

通过内存解密后获取到服务器地址。检测网络正常连通后与指定 IP 建立正式通讯。在分析过程中，由于服务器已关闭，因此无法确定这次攻击的最终目标。

同源性分析

经分析发现，本次捕获的恶意 Shellcode 与 2020 年传播的 Higaisa APT 在代码结构上存在高度相似。值得注意的是，此次传播样本直接将 Shellcode 嵌入程序的资源段中，并进行了加密处理，而过去的样本则将 Shellcode 存储为独立文件，并通过白文件进行调用。

更多样本信息可登录鹰眼情报中心（https://ti.duba.net）搜索或者上传样本后查看分析出的 C2 配置，通过 IP 地址查看所属家族和地区等详细信息，在“关联情报”里点击相关通信文件等选项即可获取关联的同源家族样本。

总结

近期网络钓鱼的攻击手法的仍在不断进化和复杂化。攻击者通过将恶意软件伪装成正常的安装包发布在下载链接中，利用图标和数字签名提高可信度，让用户难以区分真伪。这使得普通用户在判断软件的安全性时面临更大挑战。防范建议：优先在正规官方网站下载软件，避免使用外部或不明来源的链接。对于制作粗糙或设计不专业的类官方网站，应提高警惕。在处理电子邮件、社交媒体消息或网站上的下载链接时，若来源不明确或不可信，尽量避免点击或下载，以减少受到网络钓鱼攻击的风险。同时，安装金山毒霸可以有效检测和清除此类威胁。

IOCs

MD5（部分）

E7CF8B4C6BF416020929A3E7469A84CC

12E2D0FC11B2C788C09B187B3D632459

FB08395645BA9DA02224101AD25E06D3

33CA9B7FC670837EC5B4F16007AE4689

48CE6EF579AC746FF2E74595301B4D75

D4B3C1D38C0ADC4FD5111A38B50E2106

C5592864F343C9C9C7E47B80FB6C6313

AEC9716853A0814B3BF974314542B999

E84197A347F7E2AD59A2396F6C3D1F9C

33DC5AC694D7C8E48FE23452DD5309A2

C4A6CD3B485986F44AA151CC0305B3DB

7E2E211E27BE9D63C86392761BBCAB06

1E76771744BA85AE91D35756DD3D5EBD

67836F4B378BFB3B424E4CF548B6D5FE

35C83FF8AA2415DC96B134E63A8100FF

C&C

43.246.209.83

59.120.199.98

61.222.50.236

阅读原文

跳转微信打开

新瓶装旧酒，一款另辟蹊径的木马与杀软的博弈。

概述

近期，鹰眼情报中心在内存防护数据中监测到一款针对中国网民的钓鱼攻击。该木马伪装相对隐蔽，通过钓鱼下载站伪装成输入法、驱动等程序。每个IP仅可访问一次下载页面，再次访问服务端不会返回恶意钓鱼链接。诱骗用户下载“双击安装.exe”运行后释放pro.exe和dess.exe，其中pro.exe另辟蹊径使用WFP对各大安全产品云查IP进行过滤屏蔽，为后续木马做环境铺垫。dess.exe负责内存加载Gh0st远控木马，对目标实施监控。

正文

以往钓鱼类远控均以免杀方案为主，通常是加载器根据不同安全软件，加载针对绕过型payload，以达到绕过安全软件对目标实施监控的目的。随着攻防进一步深入，越来越多的木马另辟蹊径采取主动对抗杀软方案，本文所述木马通过WFP网络过滤对各大安全厂商云安全进行屏蔽以求得更长的生存周期，真可谓是八仙过海各显神通。下文将对此木马的落地模块做简要分析，其主要攻击流程如下图所示。

点击安装

此模块充当加载器角色，诱导用户下载执行后，其通过访问http://164.155.212.251/a121.41.21.197.txt获取后续payload，通过加密加载内存模块，调用其导出函数yourfucn执行后续流程，如下图。

其中内存模块yourfucn导出函数，该模块使用了Code Virtualizer对代码进行虚拟化保护，以干扰静态分析。通过对后续流程跟踪，当进程位置不满足要求时，会拷贝自身到C:\Users\Public\pro.exe并尝试提升权限启动。

pro.exe

该模块为上文点击安装的副本，当其以pro.exe进行运行时，内存模块会触发特定分支，进行下一步部署。首先其通过远控获取一份数量近5000的ip列表，下载地址为http://164.155.212.251/ipcode.dat，保存成1.dat，通过解密获取ip信息列表，并将此列表加入WFP过滤，以阻断各大厂商云查、病毒库升级等操作。部分IP列表如下：

与此同时循环对杀软进程(金山毒霸、windows defender、360、腾讯管家、火绒)进行枚举，如果存在，则获取其相关网络连接信息，加入WFP过滤。

同时注册服务执行命令关闭UAC弹窗为后续流程铺路。

cmd /c  reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v "ConsentPromptBehaviorAdmin" /t reg_dword /d 0 /F
reg ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

至此，准备阶段基本完成，通过WFP过滤阻断杀软通讯，可有效打击对云查强依赖的杀软，为后续远控进程赢得更长的生存周期。最终pro.exe会通过访问http://164.155.212.251/a121.41.21.197.txt下载并解密释放dess.exe，并伪装成QQ安全中心进行持久化。

dess.exe

该模块由pro.exe释放部署，主要用来加载最终远控payload，dess.exe启动后访问http://121.41.21.197/m1.txt下载并解密内存模块，并调用其导出函数fuckyou。

此内存模块为标准的Gh0st RAT变种，如下图，内存马Gh0st和Cobalt Strike属于老生常谈的话题，此处就不在过多赘述远控自身功能。上线地址为121.41.21.197:3004。

总结

近些年来钓鱼攻击越来越频发，手法也越来越隐蔽，对抗手法也逐渐日新月异。远控还是那个远控，利用系统机制和杀软特点去博弈，新瓶装旧酒的加载方式有效的为其赢得了生存周期。安全厂商也应针对性查缺补漏避免防御体系被钻空子。防范建议：不要轻易点击陌生邮件中的链接或下载附件，尤其是来自不信任或不熟悉的发件人。下载文件时要仔细核对文件和来源信息，同时开启毒霸的内存防护也可有效阻断此类攻击。

IOC

164.155.212.251

121.41.21.197

y1.whwis.cn

y2.whwis.cn

x2.whchl.cn

x1.whchl.cn

z1.whyss.cn

y1.whzcm.cn

soft.uniqtest.cn

阅读原文

跳转微信打开

近期毒霸安全团队监测到Cobalt Strike远控告警激增，数小时内高达百起。

近期毒霸安全团队监测到Cobalt Strike远控告警激增，数小时内高达百起。Cobalt Strike作为一款后渗透工具，一般用于定向攻击特定目标，较少出现大范围感染。溯源发现这些用户从仿冒的SEM落地页："http://zky[.]hfyswlkj[.]top"下载了名为："百度云盘安装包.exe","网盘安装包.exe","钉钉安装包.exe"的恶意程序。通过关键字："百度网盘下载"，"钉钉下载"，"office", "pdf"等在搜索引擎上找到多个页面一致的最新SEM仿冒站点，且排行在第一位置，下载的都为携带远控的恶意程序，但未发现包含Cobalt Strike。

深入告警数据挖掘发现存在时间点的聚集，当时用户访问的SEM落地页只在特定的时间段才能下载到携带Cobalt Strike的恶意程序。传播时间点共出现3次，每次持续时间在1~2小时左右，可以看出黑产团伙在小范围测试。

下载的恶意程序使用pyinstaller打包器打包，并使用vmprotect和themida强壳保护，解包后的核心pyd模块也同样使用强壳保护对抗分析。原始安装包还拥有有效的数字签名，这也使得它的免杀效果大幅提升。运行后最终会执行Cobalt Strike 的Http Stager Shellcode，再拉取beacon后门模块在内存中执行，最新版本还同时携带了”大灰狼“远控模块。

样本分析

7月27日传播的样本使用themida加壳，且添加无效签名。

7月31日和8月1日传播的具有有效数字签名："CleverSoar Electronic Technology Co., Ltd."

以有签名为例，样本使用pyinstaller打包，解包后内部核心功能编译成pyd，并使用vmp加壳保护。运行后会复制自身到临时目录下为"d2dAdawdc30u9ex.exe"再执行，随后在内存中释放出两段shellcode, 一个用于加载CS beacon, 另一个加载"大灰狼"远控。整个流程如下:

CS stager与C2:"http://update[.]youjucan[.]com:2271/jquery-3.3.1.slim.min.js"通讯下载beacon模块，CS服务端配置了staging process(分段过程)模仿jQuery请求，Beacon payload被混合到jQuery javascript文本块中。

payload执行后自解密出beacon模块，但beacon模块被特殊处理，代码段、导入表函数名和导入dll名都被异或加密，加载器加载时会动态解密修复，并去除pe头，防止内存扫描。

除了加载CS外还有一个分支负责内存加载"大灰狼"远控变种，而在7月25日的版本中并未发现。"大灰狼"使用的是外部流传较广的 "V9.5"版本，通讯C2:"xy1.youjucan[.]com"。

IOC：

    C2:

     zky.hfyswlkj[.]top

     update.youjucan[.]com:2271

     xy1.youjucan[.]com

    143.92.53.167

    md5:

    e242ca6cc42037a611704d1a3d44aa6a

    cf275313b61ff8a499b7b663edad1571

    117164443ecd1475bd76b22b32eb7012

    aca89aff6f48217465078cb4105bdc67

阅读原文

跳转微信打开

近期毒霸安全团队监测到大量利用电子发票为诱饵的钓鱼攻击活动，攻击者通过发送大量钓鱼诱饵引导用户进入钓鱼站点。

近期毒霸安全团队监测到大量利用电子发票为诱饵的钓鱼攻击活动，攻击者通过发送大量钓鱼诱饵引导用户进入钓鱼站点。这些钓鱼站伪装成发票下载站，与平常人们开发票站点相似，稍有不注意很容易上当。这些钓鱼木马最终会在内存中执行gh0st远控木马，监视并操控用户电脑。

在对钓鱼站深入分析后发现，网站开设有30多个后台账号，这些账号不断上传木马文件，并保持持续更新，甚至一天更新多次，上传成功后可以生成分享链接，这些链接被用作钓鱼诱饵分发，其中单个诱饵最多的一天下载量达3000多次，受影响用户甚广。通过对攻击者使用的钓鱼平台源码、C2服务器操作日志、恶意代码归因以及攻击技术手法等维度综合判定，我们认为幕后组织为一群盘踞在境外东南亚地区的黑产组织，具有中文语言背景，长期针对国内企事业单位，发动定向钓鱼、电信诈骗等网络攻击活动。

其中一个钓鱼页面：

http://www.siyike[.]work/#/share/69cc0f49b08f4a4a9e86

攻击流程

详细分析

钓鱼样本23554001.rar 打包了一个可执行程序23554001.exe。该样本执行后调用UrlDownloadToFile函数下载后阶段payLoad，并存放对应目录，最后执行“C:\programdata\thunderupdate\LiveUpdate.exe”。

下载文件对应关系如下。

LiveUpdata.exe 是利用LOLBins免杀技术，这个文件是一个XShell、Xftp、系列工具的更新程序，它运行后会读取当前目录下同名的LiveUpdate.dat文件。LiveUpdate.dat是zip压缩文件使用内置密码解压。压缩包中包含一个_TUProj.dat文件，该文件实际是一个包含Lua脚本的文件。攻击者在lua中嵌入了shellcode，当LiveUpdata.exe对LiveUpdate.dat解析成功后Lua脚本得到执行。

shellcode执行后会读取同目录下的xml，实际为修改了pe头的dll文件，对pe头修补后在内存中加载执行。在Thunderupdate目录和Thunder目录下各有一个xml文件分别为两个不同payload。Thunder目录下的导出名为libe.dll, Thunderupdate下的为Server22.dll

libe.dll的功能比较简单主要是把c:\programdata\thunder\LiveUpdate.exe 通过COM接口注册计划任务。Server22.dll为修改版gh0st远控，C2地址从c:\programdata\setting.ini 文件读取。该远控功能强大有接近70个控制码，除了常规的文件、注册表操作, 截屏, 远程控制，键盘记录，录音外，命令执行外，还会强制清理用户浏览器数据让用户重新输入网站凭证，以便截取用户输入。部分控制功能如下：

从URL“http://my.xindajiema[.]info/picturess/2023/221.100.txt”中发现下载的内容中”61[.]160.221.100“的IP后两段与文件名"221.100.txt"相同，我们推测还存在大量其他的C2地址，对ip地址后两段生成字典对该路径爆破，共获取到有效C2地址203个，这些C2在ti.duba.net平台中查询可以关联到大量同类型样本。据此我们可以看出该组织的基础设施规模非常庞大。

钓鱼站点分析

钓鱼站点使用网盘类web程序搭建，进入后台和数据库后发现，根据第一条上传记录推测站点创建于2023-01-25日前。

钓鱼站点有30多个账户，不同的账户每日都在上传钓鱼文件，在其中一个账户后台可以看到近期的上传记录,点击分享便可以产生一个分享页也就是文章开始提到的钓鱼页面。

上传文件按下载量排序显示2023-03-15日上传的23554003.rar文件下载最高达3000次，该站点在两个月的时间里共上传了70多个诱饵文件。

在排查过程中还发现攻击者SSH连接IP来自老挝博胶省， 设备是中文环境语言 zh_CN.UTF-8 。

总结

近些年来钓鱼攻击越来越频发，个人信息的泄露也在一定程度上助推了这些活动更加具有针对性，发票类型钓鱼的目标大多都是企事业单位的财务人员，结合攻击者所在的东南亚地区，也让我们联想到诈骗活动。一旦攻击者发现是高价值目标便会持续监视用户的一举一动，那将毫无隐私可言，各种社交聊天信息和机密信息都将暴露，攻击者甚至可以操纵用户的微信、QQ为受害用户定制化诈骗场景。由于攻击组织在境外，一旦有资金损失要追溯也是非常困难。防范建议：不要轻易点击陌生邮件中的链接或下载附件，尤其是来自不信任或不熟悉的发件人。下载文件时要仔细核对文件和来源信息，同时开启毒霸的内存防护也可有效阻断此类攻击。

IOC:

1f48ba6ce347cfba4882e70087ce6887

http://www.siyike[.]work

http://my.xindajiema[.]info

61.160.221.100

阅读原文

跳转微信打开

上周知名企业电话系统3CX DeskTop App客户端软件遭遇供应链攻击，客户端安装包被植入恶意代码。

上周知名企业电话系统3CX DeskTop App客户端软件遭遇供应链攻击，客户端安装包被植入恶意代码。3CX Desktop App 是一款跨平台桌面电话应用程序，用户可以通过它进行聊天、消息、视频和语音交互。美国运通、可口可乐、麦当劳、宝马、本田、丰田、梅赛德斯-奔驰、宜家等都是他们的客户。依据3CX官网发布的公告，被注入恶意代码的客户端有多个版本，涉及MacOs和windows两个平台。在归因上各家安全公司都倾向于是朝鲜某APT组织策划了这次行动。

根据SentinelOne 的安全报告显示他们于2023年3月22日首次收到告警并展开分析。毒霸安全团队也第一时间调查我们国内感染用户，介于初阶段样本时间戳是2022年11月12日，我们把调查时间线向前推进了半年，相较于国外的感染量，国内只有极少量用户感染，首例感染用户发生在2023年3月25日，且根据内存防护数据显示感染用户都只触发了第一阶段内存payload未见后续行为。使用毒霸扫描查杀和开启最高内存防护都可以有效拦截本次攻击。

攻击流程

详细分析

以下分析基于windows平台18.12.416客户端版本。母体样本安装包3CXDesktopApp.msi具有3CX公司合法的数字签名。

安装后会释放如下文件，恶意代码存在于ffmpeg.dll 和 d3dcompiler_47.dll中，3CXDesktopApp.exe启动后会加载恶意模块ffmpeg.dll ，是一起典型的dll侧加载利用。

ffmpeg.dll 执行后创建互斥体”AVMonitorRefreshEvent“保证一个实例运行。随后读取同目录下的d3dcompiler_47.dll文件数据到内存，用特征码”0xfe 0xed 0xfa 0xce“从文件签名起始处开始搜索附加数据，此文件有正常的微软签名但是文件末尾被攻击者附加了加密的shellcode。

数据读取后用RC4进行shellcode解密，密钥”3jB(2bsG#@c7“，并修改执行权限跳转执行。shellcode中内嵌一个PE模块文件名"samcli.dll"，此shellcode的功能是在内存中反射装载samcli.dll，最后调用导出函数DllGetClassObject并传入以下参数执行。

1200 2400 "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) 3CXDesktopApp/18.11.1197 Chrome/102.0.5005.167 Electron/19.1.9 Safari/537.36"

在DllGetClassObject函数中，创建一个线程继续执行后续代码，攻击者创建了一个manifest文件，并写入了当前时间戳，每次启动进入到此处代码都会读取该值并与最新时间戳比较，如果大于才继续执行。根据代码设定潜伏期最短7天最长27天。

C2通讯地址托管在了github中。通过(rand() % 15 + 1）随机请求ico文件。https[:]//raw.githubusercontent[.]com/IconStorages/images/main/icon[1-15].ico

目前该项目已被删除。

下载到的ico文件末尾被附加了加密的C2地址，通过特征码”$“倒序搜索定位到数据并进行解密。得到解密后的地址会继续请求下一阶段的payload。

由于C2服务已经关闭无法获取到后续恶意模块，对于后续的代码从静态角度分析是可以直接在内存执行payload。

总结

每一次成功的供应链攻击都有其独特的特点和表现形式，这次的分析只是揭示了攻击的冰山一角，由于最终payload停止下发，并不清楚还有多少恶意功能，以及他们最终想要攻击的目标是谁。这次攻击非常隐秘，攻击者并不着急展开行动，而是等待合适的时机，静待猎物上钩。如果不能及时发现，由于3CX软件的广泛使用，将对多个行业带来巨大的威胁和损失。从样本的时间戳来看，攻击者很可能早在2022年11月前就开始行动了，这表明这是一场经过精心策划的攻击。事件发生后3CX公司的行动也是令人震惊，在3月22日发现软件被报毒后，被认为这是一起误报并在随后的数天内什么也没做，没有组织有效的内部调查错过了调查取证的关键时机，在收到多个安全厂商报告后，CEO试图将问题归咎到ffmpeg组织，随即ffmpeg组织发表声明他们不发布任何编译二进制文件，由此可以看出3CX公司在安全建设上存在严重问题。目前3CX公司已经聘请安全公司Mandiant介入调查，相信随着调查的深入，事件真相将很快水落石出。

IOC：

74bc2d0b6680faa1a5a76b27e5479cbc

0eeb1c0133eb4d571178b2d9d14ce3e9

82187ad3f0c6c225e2fba0c867280cc9

https://msstorageazure[.]com/window

https://officestoragebox[.]com/api/session

https://visualstudiofactory[.]com/workload

https://azuredeploystore[.]com/cloud/services

https://msstorageboxes[.]com/office

https://officeaddons[.]com/technologies

https://sourceslabs[.]com/downloads

https://zacharryblogs[.]com/feed

https://pbxcloudeservices[.]com/phonesystem

https://akamaitechcloudservices[.]com/v2/storage

https://azureonlinestorage[.]com/azure/storage

https://msedgepackageinfo[.]com/microsoft-edge

https://glcloudservice[.]com/v1/console

https://pbxsources[.]com/exchange

阅读原文

跳转微信打开

鹰眼威胁情报中心捕获一起针对微信的窃密攻击行动，并将其命名为“微马家族”。该木马利用流氓软件不仅窃密微信客户端用户Token，还进行定时暗刷引流。迄今为止导致全网受感染用户已达到百万级别。

攻击事件介绍

        鹰眼威胁情报中心团队于2021年4月披露了一起针对微信的窃密攻击行动（“微马来袭”：首例针对微信的大规模窃密攻击），自披露以来我们对该家族的动向进行密切关注，发现其幕后团伙并没有收手，仍在不断发展壮大自己以攫取更多的利益。根据毒霸内存防护拦截数据显示，微马家族的感染规模、更新活跃度在众多针对微信客户端的黑产活动中位居前列。如下图所示，从2022至今为止“微马”的感染量持续攀升，平均月感染量在20万左右，可以预估该家族在近两年活跃的时间里导致全网受感染用户已达到百万级别。

        微马家族都是先通过流氓软件外壳伪装入驻用户系统，而后监控、注入微信进程并窃取用户授权令牌等敏感信息。此次捕获的木马在多个渠道传播，主要来源于以下几个流氓软件：

    在捕获的新一代"微马"样本中我们发现，除了收集用户关键的微信token外，还定时暗刷广告营销类公众号文章进行引流，让大量的微信用户成为他们牟利的工具。在分析过程中我们拉取了上百条配置链接，经过对内容分类统计发现其中暗刷对象主要涉及美食、购物、汽车、房产、美妆等广告营销类文章。

    综上可见发展壮大后的“微马”家族产业链已更加完善、分发渠道更加丰富，样本攻击更为活跃。

流程概要

        攻击者为了提高用户感染率，将微马模块藏匿在流氓软件的安装包内。一旦在用户计算机安装成功则会将该模块注册成恶意服务实现持久化驻留。服务通过远控服务器下拉攻击载荷，该载荷启动后解密出窃密模块，对微信进程进行检测和反射式DLL注入，在内存中使用正则匹配暴力搜索访问链接的关键位置并且安装Hook，实时监控窃取用户令牌数据、下载流量配置，从而实现"流量暗刷"、“广告引流”等真正目的。

详细分析

1. 初始执行

        此次捕获的微马模块由“整点播报”安装包释放。该程序具有数字签名“Wuhan Weizhinuo Network Technology Co., Ltd.”。该流氓软件被静默安装在用户计算机的同时释放注册了DrthServer服务，此服务对应落地文件DxpwServer.exe。

        为了增强对抗，安装包根据用户环境的差异会释放两种不同版本：在测试环境中，被安装包释放的服务只有对流氓软件进程自保的单一功能；而在用户环境中，我们捕捉到的则是携带恶意功能的服务模块。两个服务文件的签名一致，但是恶意服务的体积较大，通常为400KB以上。

2. 对抗手段

(1) 字符串加密

        DxpwServer服务文件由易语言编写，且其中重要的字符串均被加密，以对抗杀软检测，加大安全人员分析的难度。

(2) 环境检查

        在服务运行中有多处位置在执行到关键步骤之前，都会通过查询下列相关进程判断是否有杀软、调试工具、虚拟机或者同系列的木马服务进程已经启动，如果有则直接禁用当前服务。

        同时，服务还会查询注册表判断是否有同系列的木马已经植入到用户系统，如果有相关注册信息则退出服务进程。相关注册表项如下：

(3) 反射式DLL注入

        恶意软件为了提高自身隐蔽性，利用DLL注入技术将恶意代码注入微信进程，注入完成后使用远程线程调用木马模块的DllEntryPoint函数执行初始化动作。从服务器下拉配置到启动恶意模块的期间无任何文件落地，同时增加了查杀检测难度。

(4) 持久化和更新模块

        攻击者通过在用户计算机中注册服务，实现长期稳定地从远程服务器下载更新配置，其中包含注入微信进程的恶意载荷和广告暗刷的配置链接。

3. 下载服务配置

(1) 查询微信进程

        通过查询wechat.exe、WeChatResource.dll进程是否存在来判断微信的运行状态，当微信启动时才会执行下一步骤。

(2) 获取云控配置

        当服务确保微信正在运行之后，则会与C2地址：222.187[.]232.40 的地址进行通讯，访问 http://yihuafence.com/dates.zip 将数据获取到内存中：

        通过将内存数据解密，我们捕获到真正的恶意载荷，模块名称是“发送统计.dll”，该文件是由易语言编写，其中重要的字符串仍然使用同一方式进行加密。

        “发送统计.dll”是微马的核心功能模块，根据内存防护引擎捕捉到的数据显示，该模块每隔数月就会更新一代，与微信版本更新基本保持同步，截止本报告完成微信11月10号发布最新版本为3.8.0，该团伙已在11月15号完成了核心模块更新。

4. 反射式注入微信

(1) 注入恶意载荷

        在确定用户计算机环境安全且正在运行微信进程之后，向WeChat.exe中注入解密后的“发送统计.dll”模块：

(2) 注入启动ReflectiveLoader

        装载恶意载荷的ReflectiveLoader则是一段内嵌在服务文件“.data”段的shellcode，功能为内存展开模块并且调用库函数 ，木马服务将其写入Wechat.exe的内存，利用远程线程调用实现在微信进程中反射装载恶意DLL：

5. 分析恶意载荷

(1) 检查环境

        攻击者在恶意载荷中仍会不断检查环境是否能够继续安全地执行恶意操作，比如：确认当前模块是否为微信的进程、验证微信是否登录、是否正在运行各类杀软、抓包工具、虚拟机及调试器等程序。

(2) 下拉暗刷配置

        在检查环境之后若没有出现异常，则请求IP地址为 216.83[.]45.51:4018 的服务器 serviceswechat.com 下载加密配置，该链接是高仿微信的地址 servicewechat.com （仅多了一个字母“s”），在流量分析时很容易混淆在海量的正常微信流量中。下载的配置经解密以json的格式呈现，其中url都是微信公众号文章链接。服务配置更新的周期为一小时，每次下发配置中的链接总量都是27条，且链接URL和文章内容均不相同。

(3) 窃密用户Token

        木马使用正则搜索定位到WechatWin.dll模块中与链接访问相关的目标位置，将需要HOOK的地址原汇编记录保存，跳转至新申请的内存空间安装钩子执行木马逻辑后返回原地址继续执行：

        当用户在正常访问链接时，微信进程会执行到钩子的位置，实现获取链接中用户令牌相关字段的数据：uin、key、pass_ticket、devicetype、version。

        而后将关键数据与特殊字符进行拼接组合，使用base64的加密方法加密后再进行倒序产生了一个新的数据包，发送至云端恶意IP：216.83[.]45.52 （http://serviceswechat.com:2837）。被收集的用户关键令牌信息也极有可能被利用在其他黑产和恶意活动之中，值得微信用户警惕。

(4) 暗刷流量

        访问链接的部分使用了双层循环嵌套，外部循环会确认“WechatBrowser.exe”以及微信窗口是否运行以保证能正常调用接口，内部循环通过内存定位wechatwin.dll中web访问的函数地址，将链接地址作为参数传入完成暗刷操作。

        如下图所示，源自配置链接的文章访问量可达到其他同类公众号文章的数倍之多。

关联同源样本

        登录鹰眼情报中心（https://ti.duba.net）搜索或者上传样本后查看分析出的C2配置，通过IP地址查看所属家族和地区等详细信息，在“关联情报”里点击相关通信文件等选项即可获取关联的同源家族样本。

总结

        在自媒体时代的洪流之下，用户个人流量已经成为商家的获利工具，与此同时必然会衍生出大量黑灰产业赚取红利。微马家族就是借助流氓软件易感染、难清除的“优势”潜伏在用户系统内，逐步形成了一条成熟的暗刷推广链。从溯源结果来看每个下放的微马服务中代码相似度很高，其中不仅有公众号相关的链接处理，还预留了视频号相关的处理逻辑，随着微信的产品功能升级，木马也会更新迭代加入新的黑产功能。而身为病毒携带传播者的流氓软件风险危害仍然不容小觑，需要及时做好检测清理和防范措施。目前毒霸已支持对该病毒的查杀：

IOCs

MD5（部分）

C&C

阅读原文

跳转微信打开

2021年5月以来鹰眼情报中心（https://ti.duba.net）陆续监测到一些具有相似行为特征的针对 MSSQL 服务器攻击事件。

事件概述

2021年5月以来鹰眼情报中心（https://ti.duba.net）陆续监测到一些具有相似行为特征的针对 MSSQL 服务器攻击事件。

在分析了这些相似攻击的活动后，我们整理了其攻击流程和技术特征：攻击者针对 MSSQL 脆弱性进行攻击，通过爆破弱口令或漏洞利用的方式获取 MSSQL 的管理员账户权限，随后通过 MSSQL 相关进程调用命令行 Shell（cmd.exe 和 powershell.exe）来下拉和执行载荷模块，载荷负责运行 Cobalt Strike 模块。

流程分析

详细分析

运行载荷

下发 AnyDesk

下发 Mallox 勒索病毒

Mallox 勒索病毒执行的进程链与部分样本MD5。

攻击者留下的勒索信。

同源样本关联

总结

IOC

MD5

C2

阅读原文

跳转微信打开

[公告简述]2022年07月13日，微软发布2022年7月份安全更新，本次更新涉及84个漏洞的修复，按照漏洞

[公告简述]

2022年07月13日，微软发布2022年7月份安全更新，本次更新涉及84个漏洞的修复，按照漏洞类型划分：12个远程执行代码漏洞、52个特权提升漏洞、11个信息泄露漏洞、5个拒绝服务漏洞、4个安全功能绕过漏洞，其中4个漏洞风险评定级别为“Critical”（高危），80个为“Important”（严重）。其中4个被归类为高危等级，可能造成远程代码执行利用。

另外还包括目前被发现在野利用的"Windows CSRSS 特权提升漏洞(CVE-2022-22047)"，成功利用此漏洞的攻击者可以获得系统权限，此漏洞由Microsoft 威胁情报中心 (MSTIC) 和 Microsoft 安全响应中心 (MSRC) 在内部监控发现。

[漏洞列表]

[重点漏洞]

• CVE-2022-22047（Windows CSRSS权限提升漏洞）

该漏洞存在于客户端/服务器运行时子系统（CSRSS）中，目前已发现在野利用，成功利用允许攻击者以System权限执行代码。

• CVE-2022-22038（Windows RPC运行时远程代码执行漏洞）

此漏洞存在于漏洞存在于Microsoft Remote Procedure Call Runtime中，允许攻击者在未经身份验证的情况下对受漏洞影响的系统进行远程代码攻击。攻击复杂度很高，要成功利用此漏洞，攻击者需要花费时间通过发送恒定或间歇性数据来重复利用尝试。

• CVE-2022-22029（Windows网络文件系统远程代码执行漏洞）

此漏洞允许攻击者在未经身份验证且无需用户交互的情况下，向目标NFS服务器发送漏洞利用请求从而在目标系统上执行任意代码。

• CVE-2022-30216（Windows Server Service 篡改漏洞）

此漏洞允许经过身份验证的攻击者可以远程将恶意证书上传到受影响的服务器上从而篡改服务，包括但不限于代码执行的诸多利用方式。

[安全建议]

毒霸安全专家建议用户及时更新Windows版本并保持Windows自动更新服务开启。

有关7月安全更新的更多信息，请参考微软官方安全更新指南：https://msrc.microsoft.com/update-guide/releaseNote/2022-Jul

阅读原文

跳转微信打开

警惕！以“举报”之名的钓鱼攻击！

事件概述

近期鹰眼威胁情报中心 (https://ti.duba.net/) 陆续捕获到多个以“举报”为诱饵的一批的钓鱼攻击，攻击者对多个目标投放诱饵，涉及高校，金融公司，高新技术企业等，诱饵文件名包含如下字样：“举报材料”、“作弊证据”、“举报证据”等。其中一些是对企事业单位信访科的攻击可见是非常有预谋的定向攻击。这些诱饵最终都会释放 Cobalt Strike 远控，企图对目标进行长期监控和对内网的进一步渗透攻击。攻击者对不同的目标都做了定制化的免杀，样本都不重复，推测攻击者对目标环境有一定的了解。例如在针对某信访科的攻击中使用了双诱饵，内存中执行的 CS Shellcode 利用 SEH 异常机制动态解密和执行指令，每次执行一条指令后就清空上一条指令，内存中始终只保留一条指令，躲避启发式查杀和内存扫描。其他几例攻击中分别使用了 Go 语言和 Python 打包混合执行以及文件膨胀免杀。最终的 C2 都指向腾讯云的 API 网关从而隐藏真实的 C2 地址，可以看出攻击者有较强免杀和隐藏技巧。

1. 针对某单位信访科的钓鱼分析

此次攻击使用电子刊物格式 caj 和可携带文档格式 pdf 的图标，并配以举报材料和作弊证据的名字进行迷惑用户点击。用户无论打开哪一个，其攻击手段如出一辙。

样本运行后，都是通过先安装 SEH，然后去执行 0xcc 地址触发异常，利用某些引擎对 SEH 的模拟处理不完善，从而绕过其动态启发式的查杀。在进入异常处理流程后，进行动态链式的解密清空执行所需的 ShellCode，这种处理明显是为了躲避杀软的内存扫描，在异常的“加持”下内存始终保持着最长 20 字节的指令。

该 ShellCode 实际为 Cobalt Strike Stager 用于从 https://service-iywh4vgv-1301088967.cd.apigw.tencentcs.com/vue.min.js 下载加密的 beacon.dll，在内存中展开执行。我们还追踪到 beacon 模块又下发了一个 CS 组件“invokeassembly.x64.dll”用于后渗透攻击。

beacon 部分配置如下：

BeaconType                       - HTTPPort                             - 80SleepTime                        - 45000MaxGetSize                       - 1398104Jitter                           - 0MaxDNS                           - Not FoundPublicKey_MD5                    - e9ae865f5ce035176457188409f6020aC2Server                         - service-iywh4vgv-1301088967.cd.apigw.tencentcs.com,/api/xUserAgent                        - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.2121 Safari/537.36HttpPostUri                      - /api/yMalleable_C2_Instructions        - Base64 decodeHttpGet_Metadata                 - ConstHeaders                                        Accept: */*                                   Metadata                                        base64                                        prepend "SESSIONID="                                        header "Cookie"HttpPost_Metadata                - ConstHeaders                                        Accept: */*                                   SessionId                                        base64                                        prepend "JSESSION="                                        header "Cookie"                                   Output                                        base64                                        print

2. 针对某半导体企业的攻击分析

攻击流程：

该样本使用 Go 语言进行编写，使用压缩包隐藏在邮件中进行传播，使用超长名字以隐藏 exe 后缀并伪装成 docx 后缀形式进行迷惑用户点击，样本启动后会在同目录下写入 举报证据.docx，如下图所示。并调用 cmd 进行打开此文档。释放 pycode.exe 文件到 C:\Users\Public 目录下并执行启动后续的攻击流程。

pycode.exe 分析：

此模块属于Pyinstaller 打包的 Python模块，在运行此模块后会进行释放 Python 所需要的文件至 %Temp% 的 _MEI20042 文件夹下进行作为 Python 环境所需要的支持。通过对 Pyinstaller 的解包分析，此模块下的 Python 核心源码文件均被加密为字节码，使得无法轻易获得其源码，通过 PyEval_EvalCode 函数中进行解析字节码指令执行。

然后执行后在内存中写入一段 Cobalt Strike Stager 并执行，后续逻辑与前一案例一致：下载 Cobalt Strike beacon.dll 到内存中执行，C2 地址同样为中转的腾讯云函数：https://service-rs0iggq1-1305836665.sh.apigw.tencentcs.com//bootstrap-2.min.js 。

beacon 部分配置如下：

BeaconType                       - HTTPSPort                             - 443SleepTime                        - 3000MaxGetSize                       - 1398104Jitter                           - 0MaxDNS                           - 255PublicKey_MD5                    - 1f1410c901d9d89b09784d0c2b5f945aC2Server                         - service-rs0iggq1-1305836665.sh.apigw.tencentcs.com,/api/getitUserAgent                        - Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)HttpPostUri                      - /api/postitMalleable_C2_Instructions        - Base64 decodeHttpGet_Metadata                 - ConstHeaders                                        Accept: */*                                   Metadata                                        base64                                        prepend "SESSIONID="                                        header "Cookie"HttpPost_Metadata                - ConstHeaders                                        Accept: */*                                   SessionId                                        base64                                        prepend "JSESSION="                                        header "Cookie"                                   Output                                        base64                                        print

目前 Ti 鹰眼威胁中心已支持查询该样本的相关情报信息，此外，还可以使用Ti 鹰眼威胁中心的高级检索功能获取以“举报”命名的情报：https://ti.duba.net/search-result?search_key=file_names%3A%E4%B8%BE%E6%8A%A5。如下图所示：

总结

通过对上述样本的分析和鹰眼情报中心关联的情报溯源，此次攻击采用了“举报”之类的命名以吸引眼球迷惑用户进行点击，用户稍有不慎就可能掉入陷阱，而且攻击者使用的 C2 均为腾讯云的微服务架构 API 网关，利用网关转发隐藏真实的服务器地址，每次攻击都可以创建一个新的网关触发器，攻击成本低且隐藏效果好。

近年来，Cobalt Strike 在攻击活动中扮演着越来越重要的角色，它可以帮助攻击者窃取数据，进行各种恶意操作，比如盗取企业信息、密码、电子邮件等。安全意识稍有不足，攻击非常容易得逞，继而对内网进行横向移动或钓鱼攻击等。甚至最近超过三分之一的 APT 攻击中都有 Cobalt Strike 的参与，在 Cobalt Strike 的滥用下，信息窃取，数据泄露事件频发给许多企事业单位造成重大损失，可见其危害性之大。相关人员需要提高个人的安全意识，安装杀软实时监控。现毒霸已支持相关模块的查杀：

IOC

MD5

5DE944206BB2112DBC544EF23855309C

92D49C67CD9CC2CAC86C170E85ACAF6F

E865C4F13E3B5C2F278EC51B17825647

BB4419982D18ED98E020F2C23600E6AB

C2

service-iywh4vgv-1301088967.cd.apigw.tencentcs.com

service-rs0iggq1-1305836665.sh.apigw.tencentcs.com

service-hx4caudh-1253827968.sh.apigw.tencentcs.com

阅读原文

跳转微信打开