威胁情报 | 不只是黑产？疑似筹划 APT 攻击的“银狐”团伙攻击活动分析

主要观点总结

知道创宇404高级威胁情报团队发现了仿冒国家重要单位及网络安全厂商员工系统的钓鱼网站，并捕获了一批疑似银狐团伙的Winos远控样本。这些样本使用VMP壳进行代码保护，且攻击目标不同于以往，指向国家单位及安全厂商。此外，还发现该团伙的powershell混淆工具和新出现的downloader木马。

关键观点总结

关键观点1: 钓鱼网站与银狐团伙的新攻击活动

知道创宇404团队通过跟踪钓鱼网站发现了银狐团伙的新一轮攻击，该网站仿冒国家重要单位及网络安全厂商员工系统，并捕获了一批样本。

关键观点2: 样本分析与特点

分析发现，这些样本属于银狐团伙常用的Winos远控样本，使用VMP壳进行代码保护，攻击目标指向国家单位及安全厂商，这与以往针对财税人员的攻击不同。

关键观点3: 新发现恶意文件与工具

除了Winos样本，还发现了一个新的downloader木马和powershell混淆工具Out-EncodedSpecialCharOnlyCommand，该工具能够实现powershell脚本代码的混淆。

关键观点4: APT攻击行为的怀疑

银狐团伙的攻击目的被认为可能不仅仅是黑产行为，还可能涉及到APT攻击行为，这引起了安全行业的警觉。

免责声明