近日��,微步發(fā)現(xiàn)并參與處置了多起大型央企��、醫(yī)療機(jī)構(gòu)等被黑產(chǎn)大規(guī)模拉群釣魚����、詐騙錢財(cái)?shù)木W(wǎng)絡(luò)安全事件�。經(jīng)過關(guān)聯(lián)分析和綜合研判后,微步認(rèn)為“銀狐”最新變種正在集中引發(fā)大規(guī)模網(wǎng)絡(luò)攻擊��,廣泛影響中大型企業(yè)���,累計(jì)受影響員工數(shù)千人以上���,堪稱2025開年以來最大規(guī)模的黑產(chǎn)攻擊�。
本次攻擊發(fā)現(xiàn)和處置難度前所未有���,原因如下:
1. 企業(yè)IM成釣魚攻擊“集散地”�,難以分辨�。攻擊者大量使用企業(yè)IM(如企業(yè)微信)拉群傳播惡意文件和詐騙二維碼,單位員工分辨較難��,容易受騙���,因此幾乎每起攻擊事件都會(huì)引發(fā)錢財(cái)損失�;
2. 釣魚途徑多樣�,誘餌緊貼時(shí)事、高度逼真���。攻擊者用以仿冒釣魚的主題包括但不限于稅務(wù)局稽查局����、DeepSeek���、谷歌在線翻譯���、公共電子郵件登錄入口,甚至偽裝為成人網(wǎng)站����,詳情見后文。
3. 黑產(chǎn)攻擊資源豐富���,攻擊規(guī)模大���、時(shí)間持久。惡意域名更新頻次極高�����,惡意樣本變種快�����、分布廣���,影響企業(yè)數(shù)量極多��,僅限制部分ip黑名單不能完全防范���。
4. 極難發(fā)現(xiàn)和清理��,攻擊反復(fù)��。“銀狐”最新變種在免殺對抗和駐留技術(shù)上有極大提升���,導(dǎo)致部分單位的攻擊事件反復(fù)出現(xiàn)。
一�、近期銀狐攻擊概覽
二、釣魚手法的超進(jìn)化
黑產(chǎn)團(tuán)伙在投遞木馬程序時(shí)��,以財(cái)稅相關(guān)主題誘餌文件和或部署各類軟件仿冒站點(diǎn)為主���,使大量企業(yè)受害���。
在財(cái)稅相關(guān)主題誘餌上,近期主要以pdf��,html文件為主����,偽裝為稅務(wù)局稽查局向轄區(qū)企業(yè)進(jìn)行稅務(wù)抽查,投遞虛假公告�,誘導(dǎo)受害者訪問木馬下載地址,下載木馬進(jìn)行遠(yuǎn)控:
在部署各類軟件仿冒站點(diǎn)時(shí),攻擊者進(jìn)行模板化部署��,釣魚網(wǎng)站更新頻繁多樣��,近期更以DeepSeek等熱點(diǎn)AI工具為主題分發(fā)攜帶后門的木馬程序��,結(jié)合搜索引擎SEO技術(shù)�,使釣魚網(wǎng)站位列搜索引擎關(guān)鍵字結(jié)果前幾名�,受害者難以分辨。
僅以“安裝Flash插件釣魚模板進(jìn)行投毒”手法為例�����,3月份就新增的釣魚站點(diǎn)多達(dá)69個(gè):
此外攻擊者緊跟時(shí)事�,發(fā)布了偽裝成DeepSeek主題的釣魚網(wǎng)站模板:
同時(shí),企業(yè)受害員工電腦被控�����,通過微信����、企業(yè)微信等IM拉群、群發(fā)鏈接或者有毒附件的攻擊事件也大量發(fā)生:
部分受影響企業(yè)的失陷資產(chǎn)在暗網(wǎng)被售賣�����,導(dǎo)致反復(fù)出現(xiàn)安全事件:
三、免殺技術(shù)的超進(jìn)化
(1)大量的白加黑應(yīng)用
銀狐采用白加黑手法加載同目錄下的黑dll文件�����,通過黑dll拉起同目錄下的子進(jìn)程并進(jìn)行解密��,以隱藏銀狐的上線模塊���。
(2)新型注入方法使用
詳情如下圖:
(3) 使用多重注入形成斷進(jìn)程鏈的同時(shí)���,構(gòu)建注入的白鏈
詳情如下圖
(4)使用rpc遠(yuǎn)程創(chuàng)建計(jì)劃任務(wù)和服務(wù)進(jìn)行持久化
手法見《銀狐叒進(jìn)化,溯源不了����,清理不掉!》但更為完善�,可以關(guān)注微步在線公眾號了解詳情。
(5)遠(yuǎn)控工具多樣化
目前銀狐木馬采用了各類魔改的gh0st和多樣化的商業(yè)遠(yuǎn)控�,如IPGuard,固信等��。
(6)自保和對抗能力增強(qiáng)
此次銀狐會(huì)使用多個(gè)驅(qū)動(dòng)保護(hù)自身不被結(jié)束��,其關(guān)聯(lián)的文件不被刪除,其創(chuàng)建的持久化項(xiàng)不被清理�,確保駐留。
四�����、應(yīng)對措施
微步建議廣大企業(yè)安全運(yùn)營團(tuán)隊(duì)立刻采取措施:
1. 積極應(yīng)對活躍黑產(chǎn)�,成立專項(xiàng)運(yùn)營小組���、制定計(jì)劃����;
2. 應(yīng)用有效的EDR技術(shù)��,快速發(fā)現(xiàn)威脅并進(jìn)行響應(yīng)�����;
3. 提高員工安全意識��,警惕偽裝成內(nèi)部員工拉群的釣魚攻擊�����,掃描轉(zhuǎn)賬前一定要多方核實(shí),提高特定部門尤其是財(cái)務(wù)的安全意識宣導(dǎo)�����。
來源:北國網(wǎng)
免責(zé)聲明:本文來源于網(wǎng)絡(luò)��,僅代表作者本人觀點(diǎn)�����,與TechWeb無關(guān)�。凡來源非TechWeb的新聞(作品)只代表本網(wǎng)傳播該消息,并不代表贊同其觀點(diǎn)����。TechWeb對文中陳述、觀點(diǎn)判斷保持中立��,不對所包含內(nèi)容的準(zhǔn)確性���、可靠性或完整性提供任何明示或暗示的保證����。請讀者僅作參考�,并請自行承擔(dān)全部責(zé)任����。
政策與經(jīng)濟(jì)
京公網(wǎng)安備 11010802020613號
