FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

近日,微步情报局监测发现,近期出现大量高仿 Telegram 中文版的钓鱼网站(搜索引擎中排名第二),下载恶意文件进行分析拓线后,确认该事件是微步情报局之前披露过的国内黑灰产组织 FinGhost 所为。

 

微步情报局近期通过威胁狩猎系统监测到该组织不仅针对 Telegram 聊天软件使用者,其最主要的目标是金融证券行业从业者,分析有如下发现:

该组织使用钓鱼网站、社工文档和间谍软件为主的方式诱导用户安装病毒文件,从而实现肉鸡控制;

 

该组织当前主要目标为金融从业者,但也存在利用 Telegram 等常用软件或流行新闻等间谍软件进行大范围传播的方式;

 

该组织构造病毒文件使用多层壳嵌套(NsPack壳+VMP壳)的方式阻碍逆向分析,生成样本流程已形成模板化,最终的病毒文件为修改后的 Zegost 病毒变种,具备多角度窃密、控制和执行功能;

ddac54741cb8383f2b231db109e67d37

通过关联分析,该组织曾于 2021年7月以来使用金融相关的社工文件传播病毒, C&C 为206.119.83.28。2022年2月到至今,该组织将病毒文件加 VMP 壳后重新投递,仍使用该 C&C 控制肉鸡;

 

微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。

 

2

 

团伙分析

2.1 团伙画像

根据微步情报局研究人员对该组织的长期跟踪及关联分析,发现该组织正处于发展阶段,主要针对金融证券,利用修改后的 Zegost 病毒发展肉鸡,从而进行违法犯罪活动。

团伙画像

 

特点

 

描述

 

平台

 

Windows

 

攻击目标

 

金融证券,Telegram用户,常用软件用户

 

攻击地区

 

中国

 

攻击目的

 

发展肉鸡,窃密和控制

 

传播方式

 

钓鱼网站、社工文档和间谍文件

 

武器库

 

VMP壳、修改版Zegost病毒

 

2.2 技术特点

该组织使用多种方式进行病毒文件扩散,包括钓鱼网站、社工文档和间谍文件等。

 

2.2.1 钓鱼网站

该组织配置高仿 Telegram 中文版的钓鱼网站,其中下载的 Telegram 中文版为内嵌病毒文件,部分钓鱼网站截图如下:

钓鱼域名

 

69625824ac52907be3862e96a406560b

 

病毒文件下载地址

 

telegrampc.org

 

8106e485dfd475f1f40c5ad7ba21fada

https://download.telegrams.workers.dev/telegrampc.org

 

telegramapp.cn

51626c0855e095c1f757ed214cc74c34

 

https://download.telegrams.workers.dev/ telegramapp.cn

 

telegrammessenger.

 

https://download.telegrams.workers.dev/telegrammessenger.cn

 

经过关联分析,发现文件下载方式从最初的高仿 Telegram 域名(以 xyz 为后缀的顶级域名)下载更改为 Cloudflare 的 Workers 云平台文件下载,

钓鱼网站

 

文件下载地址Version 1(已失效)

 

文件下载地址Version 2

 

telegrampc.org

 

http://download.telegrampc.xyz/file/platforms/telegram_desktop.exe

 

https://download.telegrams.workers.dev/telegrampc.org

 

telegramapp.cn

 

http://download.telegramapp.xyz/file/platforms/telegram_desktop.exe

 

https://download.telegrams.workers.dev/telegramapp.cn

 

telegrammessenger.cn

 

http://download.telegrammessenger.xyz/file/platforms/telegram_desktop.exe

 

https://download.telegrams.workers.dev/telegrammessenger.cn

 

……

 

由于 Telegram 没有中文版,用户会使用搜索引擎搜索查找相关安装程序,该团伙针对这类用户,在必应搜索引擎做了相应的 SEO 优化,提高钓鱼网站的排名。在发现时,该网址已冲至第二位,

微步情报局对其长期跟踪发现,该组织只投放 Windows 版本的恶意文件,其余均跳转到正常的 Telegram 下载界面,如

Windows 版本的恶意文件更新十分频繁,文件更新如下表所示:

Version

 

V1

 

V2

 

Sha256

 

206b2beb3e75daa09fd05d3579f78cf80fbbb7b

 

e9903e10a4926bd579e975593

 

3BDBA928CF1ADE15F3748D900B22D0B0D0D5

 

B4166A2CF43F918F4858961AB2EC

 

Name

 

Telegram_desktop.exe

 

tsetup.com

 

Size

 

36.83 MB

 

35.8 MB

 

C&C:port

 

150.242.219.151:8099

 

193.218.38.158:8080

 

由于存在浏览器安全判断以及杀毒软件的阻碍,该组织后期又增加了信任下载文件的弹窗提示,如下图所示

使用 NSpack 壳压缩 Telegram 文件和病毒文件,点击执行后,启动正常的 Telegram 安装程序,并暗中释放安装具有 VMP 壳的 Zegost 病毒文件,

2.2.2 社工文档

微步在线对上述样本文件的资产和行为特征进行关联分析,发现存在大批量相同特征的样本,其中大部分文件名伪装成名称与金融证券相关的 Office 文档,实际为恶意执行文件,推测该组织重点攻击金融证券行业。相关样本如下表所示,其影响范围可见一斑。

Sha256

 

文件名

 

40b115a8d6a046636552143ede095668ddbd961484d97c5bd04974541d744c8f

 

2021.xx证券交易明细.exe

 

7122e5551981d9d4ca93f03eb1073c55c43ea46ceb0e97b954f782bcb41db94b

 

股票持仓明细.exe

 

8783eb42a157692b1e58d17c0aaa6c3192208a6d4829b6bd2d029caf312e0d39

 

xx证券持仓明细.exe

 

42b950070fbacde9b9168354fd9bd75fadd866df438801f772acfbf8e8477122

 

2.15优质股市推荐.exe

 

0ae6ad11f0b46282ec8da8c8483cf7fc89200c744f13ae0df1706b5ee0f19c35

 

账单出入款明细2.19_xlsx.exe

 

ca69fc3c0ed5c8f1f5bab339aa35df5928b6dadacac475c4e8d9e0c917f814e9

 

对于xx智投的操作不懂点.exe

 

be2a2505c1fbc535445f6b64ff4037c9e1560cacbb23b1ff80ad5bc17186b2dd

 

3月份-公司章程规定整理程度 01.exe

 

6f70c50049a1d16ab1a1bd08d0931e4be16b623b165965be2bc5b6db2daa35b7

 

投研点金个股.rar

 

a65a1d9e0a8f2b10ffdfa0cb672513f9abd3188f3775e3c009dc3fee0e3a061c

 

2022年一月份个人持仓数据交割截图.rar

 

48ce63bfba8e9da94dbcf7ff4f74e300b05379e080b35f9efdbf31b31218173d

 

xx证券个人账户持仓明细 8.30.exe

 

4f2ecd93addb2a675bccbb71d74193b555d30ef695795383cf8d2167a73d012e

 

基金问题总结.rar

 

f0131e579718d24c7345c41cc36a83960cccb1550ca550dd6a1831eb309b62c4

 

Flash2022.exe

 

1c718c2b9c22c48cf8828f5619408a67c33f3b593632287d231dd06b5ff08759

 

tg_desktop.exe

 

206b2beb3e75daa09fd05d3579f78cf80fbbb7be9903e10a4926bd579e975593

 

telegram_desktop.exe

 

cfe42b784b111723e619bd29a4cada37039217d4038eb07fafa6f5c70e397568

 

360UDiskPro.exe

 

94b107e25412bbf9653a60dbec133c66466fd8bf789452b28760b2d69f0d848b

 

引发市场恐慌的主要原因在于以美国为首的西方国家正在考虑扩展俄制裁至能源领域.exe

 

4adeb50cb8b77879f7219ecd333a9d38a68529d2bf905e43af5b5304d91f76d9

 

2022首批非法滞留境外劝返名单.rar

 

其中,微步情报局梳理出恶意样本文件名及其连接的 C&C 关系图如下所示:

2.2.3 间谍软件

从上表中的文件名中可以看出,攻击者目前偏爱金融证券行业从业者,但也包含一些常用的软件下载或者新闻类软件,部分间谍软件图标如下图所示,其中不乏QQ、腾讯视频、杀毒软件、360U盘助手和美图秀秀等流行性软件,传播范围广,隐秘性强。

3

 

样本分析

抽取其中某个金融样本进行深入分析,分析如下:

 

3.1 基本信息

Sha256

 

ca69fc3c0ed5c8f1f5bab339aa35df5928b6dadacac475c4e8d9e0c917f814e9

 

SHA1

 

1211a84442c03e2bb8a25733a8751a43bc98786d

 

MD5

 

2da8252066a3fe499fa4b57a76e3851f

 

文件类型

 

RAR

 

文件大小

 

881193 bytes

 

文件名称

 

对于九方智投的操作不懂点.rar

 

功能描述

 

文件解压后为“对于九方智投的操作不懂点.exe”, 点击后在在当前文件目录下生成temp文件,temp文件释放并执行核心文件, 核心文件持久化并在内存建立稳定的Zegost病毒连接,执行来自黑客服务器的命令。

 

3.2 详细分析

样本的基本执行流程图如下所示:

3.2.1 流程分析

a)解压文件后,点击该样本,会在本目录下生成以父目录名+”#”+随机四到七位字母+”.exe”为名的 temp 文件和在 C:windowssystem32(64位系统为sysWoW64)下生成 Delete00.bat 文件,如下图所示:

 

b) Delete00.bat 文件启动 temp 文件并自删除。

 

c) temp 文件释放核心文件到 C:windowssystem32(64位系统为sysWoW64)下,核心文件一般为随机字母组合的 exe 文件,如下图所示,启动核心文件后删除自身。

d) 核心文件在内存中释放 Zegost 病毒,该病毒为 dll 文件,通过调用 Shellex 函数启动,最终实现对受害机的窃密和控制,如下图所示:

3.2.2功能分析

a) 连接 C&C 并接受信息,执行指定的功能;

b) 通过创建服务维持持久化以及病毒在注册表配置的服务信息,如下图所示。值得注意的是该服务的首单词与释放的核心文件名称相同;

该服务在注册表中如下图所示:

c)通过遍历进程获取安全软件信息

 

d) 通过传入的指令对文件、目录和程序文件进行操作,

文件:解压、搜索、创建、读取、写入、移动、删除和获取信息等功能;

目录:一级或多级创建和删除功能;

程序:通过读取注册表获取信息。

e) 创建线程持续获取浏览器记录并发送相关信息;

f) 通过调用指定函数及参数获取受害机指定信息:

 

获取键盘消息;

 

获取音频相关;

 

获取屏幕截图;

 

获取和设置剪切板内容;

 

获取鼠标记录;

 

获取桌面窗口管理器相关。

g) 通过下载并使用公开工具 Mimikatz 获取受害机的账户密码;

h) 对注册表键及键值进行修改、删除和关闭等;

i) 通过遍历窗口获取受害机当前登录的 QQ 信息后,调用 QQ 的 API 接口获取返回的信息从而实现 QQ 窃密

4

关联分析

4.1版本变迁

核心文件释放的内存中除了 Zegost 病毒,还在Zegost病毒后面附带了 QAssist.sys(x86) 和 QAssist.sys(x64) 驱动文件。QAssist 驱动的目的为了保护核心文件,其中驱动的 pdb 路径为 F:\hidden-master\Debug\QAssist.pdb,如下图所示。该驱动历史曾多次作为 Zegost 保护驱动出现。

 

 

微步情报局根据其特征发现该组织曾于2021年使用外挂软件内嵌病毒的方式进行广泛传播,代码前后版本变更对比如下

 

 

其中控制及持久化部分保持一致,

 

 

经过分析,版本变化对比表如下:

版本

 

V1

 

V2

 

V3

 

时间

 

2021年6月

 

2021年7月-11月

 

2022年2月-至今

 

攻击用户

 

外挂用户

 

金融用户

 

金融用户,常用软件用户

 

样本名称

 

巴哈-糖豆人.exe

 

巴哈-绝地求生.exe

 

巴哈-盗贼之海 V4.2.exe

 

P1 出款明细账单对接总额 wps.exe

 

xx期货个人持仓.zip

 

担保骗子 888 名单曝光.exe

 

2021.xx证券交易明细.exe

 

账单出入款明细2.19_xlsx.exe

 

telegram_desktop.exe

 

 

 

传播方式

 

外挂论坛下载

 

社工文档和第三方下载网站

 

钓鱼网站、社工文档和第三方下载网站

 

样本特点

 

核心文件为UPX壳的

 

Zegost病毒

 

核心文件为PESpain壳的

 

Zegost病毒

 

核心文件为VMP壳的Zegost病毒

 

驱动位置

 

释放在系统drivers目录下

 

置于内存Zegost病毒后

 

置于内存Zegost病毒后

 

4.2 溯源信息

根据其钓鱼域名相关信息,如下图所示:FinGhost 组织卷土重来,国内金融企业或已成为“待宰的羔羊”?

telegrampc.org

 

telegramapp.cn

 

telegrammessenger.cn

经分析,该人员为域名售卖者,出售了高仿的 Telegram 域名给该组织后,该组织布置钓鱼服务,然后进行一系列违法犯罪活动。

此外,微步情报局根据追踪该组织拥有的资产 206.119.83.28,该 IP 上的恶意病毒活动记录如下图所示,经过对样本进行分析,发现与微步情报局2021年11月披露的FinGhost 黑产团伙使用的病毒文件属于同源病毒,只是打包方式以及病毒混淆方式略有更改。

 

4.3 拓线信息

根据其文件规律,微步情报局可探测到存放病毒文件的公开服务器,部分资产如下,显示该组织仍十分活跃。

文件名

 

ip

 

服务器存储情况

 

TGQF.exe DXTF.exe

 

154.23.176.112

 

154.23.176.240

 

154.23.176.236

 

 

 

$Bthudtask 01.exe

 

154.23.176.145

 

154.23.176.239

 

154.23.176.22

 

5

 

行动建议

威胁处置

删除 C:windowssystem32(64位系统为sysWoW64)文件夹下异常 DGA 名称的 exe;

 

结束 DGA 名称的进程;

 

删除注册表 HKLM_LOCAL_MACHINESYSTEMCurrentControlSetServices 中以同样该 DGA 开头的注册项。

 

安全加固

不点击钓鱼邮件等陌生来源的任何软件或者文档;

 

建立办公软件库,严格把控第三方软件

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/17439

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年6月7日 下午12:57
下一篇 2022年6月7日 下午1:04

相关推荐