近日,矢安知深攻防实验室在日常威胁狩猎中监测到一个伪装成国外社交软件“Telegram”官网的钓鱼活动。该钓鱼网站可通过访问者的浏览器标识下发不同的恶意后门程序。通过相关溯源分析我们发现本次攻击活动与黑灰产团伙“金眼狗”存在极大关联。
本次攻击活动流程如下图所示:
金眼狗组织是一个主要针对东南亚地区博彩推广相关人员的黑灰产团伙。该组织最早于2019年由奇安信安全团队披露,且在此后的几年时间里多次作案,作案目标主要以经济利益为驱动力,黑产业务涉及窃密、挖矿、DDoS等多个领域。
截止本文发稿,伪装成Telegram官网的钓鱼页面仍处于正常访问状态,该页面可向目标用户提供不同版本的中文版Telegram安装程序。这也侧面反映出本次攻击活动主要针对使用中文的用户群体。
下载后的Windows安装包不带数字证书签名,且安装完成后会在用户“%AppData%”目录下创建一个以“TG-”开头的文件目录:
随后在桌面创建一个虚假的TG快捷方式,诱导用户点击,通过该方式可有效阻止沙箱等非交互系统的检测操作:
Telegram.lnk命令行如下所示:
混淆:%AppData%\TG-B51AfF8C018c\appU.exe appU.dll,OpenURL appr.lnk 正常:%AppData%\TG-B51AfF8C018c\RUNDLL.EXE URL.DLL,OpenURL appr.lnk |
appr.lnk文件使用相同套路进行混淆:
混淆:%AppData%\TG-B51AfF8C018c\appR.exe /s /n /u /i:appR.dat appR.dll 正常:%AppData%\TG-B51AfF8C018c\regsvr32.exe /s /n /u /i:appR.dat scrobj.dll |
appR.dat是一个包含js混淆脚本的xml文件(通过jsjiami.com 进行混淆)
其主要功能是拷贝TG目录下的“KB1”和“KB2”文件到系统启动目录,实现持久化:
每次系统启动时,两个lnk文件都会分别执行%Public%\reloc路径下的利用程序,在该利用链中,金眼狗使用了“双DLL侧加载”技术执行后门程序。相对于传统的DLL侧加载技术,该方式多了一个中间环节,用于延长进程利用链与载荷执行的时间(套娃)。