RustDog釣魚木馬橫行

在剛剛過去的2023年上半年中，針對財務(wù)人員的RustDog釣魚木馬始終活動頻繁。近期，360數(shù)字安全大腦再次監(jiān)測到該釣魚木馬活躍度進(jìn)一步提升——據(jù)360終端安全產(chǎn)品的大數(shù)據(jù)日志統(tǒng)計——360各類安全產(chǎn)品日均阻斷該木馬攻擊已達(dá)數(shù)千次。

RustDog釣魚木馬因其早期版本由Rust語言編寫而得名。其背后的團(tuán)伙是一個專門針對企業(yè)員工發(fā)起釣魚攻擊的組織，該團(tuán)伙一般以涉稅相關(guān)內(nèi)容作為釣魚文件標(biāo)題（如“2023減免企業(yè)及個人所得稅最新標(biāo)準(zhǔn)”）來迷惑潛在的攻擊目標(biāo)，同時擅長利用powershell、cmstp等LOLBINs完成部分入侵功能。而一旦攻擊成功，攻擊者會在受害機(jī)器中植入遠(yuǎn)控木馬，對受害用戶進(jìn)行遠(yuǎn)程控制并伺機(jī)竊取用戶數(shù)據(jù)。

近期傳播愈發(fā)猖獗

最近，該團(tuán)伙再次通過釣魚網(wǎng)頁、即使通訊工具、郵箱等傳播方式進(jìn)行大范圍攻擊。攻擊者通過上述媒介構(gòu)建的虛假頁面誘導(dǎo)用戶點(diǎn)擊釣魚鏈接，再通過連接跳轉(zhuǎn)至后門木馬的下載鏈接。一旦用戶中招，攻擊者便會通過后門木馬下發(fā)遠(yuǎn)控程序，進(jìn)而控制受害者的電腦。此外，攻擊者還會利用遠(yuǎn)控木馬控制用戶的即時通訊軟件再次傳播木馬，對用戶造成極大的連帶損失。

近期傳播的該家族木馬名稱中時常有類似于“fapiao (1).zip”、“2023-07-07 清 單.rar”、“關(guān)于公司薪資調(diào)整通過相關(guān)部門審核.exe”等的字樣。同時，木馬在傳播對抗中也使用到了多款遠(yuǎn)程控制工具——包括Gh0st遠(yuǎn)控變種、修改版向日葵遠(yuǎn)程協(xié)助工具和超級網(wǎng)控等，并在此基礎(chǔ)上頻繁更新釣魚頁面。

樣本技術(shù)分析

下面以近期捕獲到的該家族木馬的其中一個為例，進(jìn)行技術(shù)層面的分析：

樣本MD5：4b45026b5faeb8d744f0b141a5772fee

初始化及基本功能

木馬一經(jīng)啟動，首先會完成一系列檢查與初始化。這之后，代碼會連接CC服務(wù)器：43.132.194.41:1150

連接成功后，木馬會嘗試接收從該服務(wù)器中下放的payload內(nèi)容并進(jìn)行加載執(zhí)行。執(zhí)行后的payload會在內(nèi)存中解密出一個dll文件——該dll則是一個具有完整功能的遠(yuǎn)控木馬。而有趣的是，在該dll運(yùn)行時，其代碼會檢測360Tray.exe進(jìn)程是否存在——如果存在，則會彈一個應(yīng)用程序錯誤的窗口，用于迷惑用戶。

如果該程序在啟動時參數(shù)個數(shù)為1或者是帶有-Puppet字符串，則會把payload注入到notepad.exe或者explorer.exe進(jìn)程。

此外，該樣本還會把自己復(fù)制到以下位置并將文件屬性為隱藏，同時在注冊表中將該路徑添加為自啟動項：C:\ProgramData\rundl123.exe

主體控制功能

而到了具體的功能部分，該木馬首先會獲取用戶機(jī)器的基本信息信息——這其中包括操作系統(tǒng)信息、CPU信息、內(nèi)存信息等，并把獲取的這些信息經(jīng)過加密后發(fā)送到遠(yuǎn)程機(jī)器上。

遠(yuǎn)控的控制通信也是經(jīng)過了簡單加密的，而在分析人員對其進(jìn)行解密之后可以看到該木馬所具備的控制功能均屬于比較常規(guī)的遠(yuǎn)控指令。

典型控制功能樣例分析

木馬通過0x83命令功能，首先會獲取temp目錄下”ldr”開頭的文件，然后復(fù)制向日葵配置文件到如下路徑中：C:\ProgramData\Oray\SunloginClientLite

之后啟動向日葵遠(yuǎn)控——利用這種替換配置的方法，就實現(xiàn)了對向日葵程序的控制。

攻擊意圖

該團(tuán)伙千方百計進(jìn)行免殺傳播，并向財務(wù)相關(guān)人員的設(shè)備植入木馬，主要是為了竊取用戶隱私數(shù)據(jù)，進(jìn)而為進(jìn)一步的詐騙提供幫助。攻擊者不僅會通過一般的釣魚方式進(jìn)行傳播，還會利用受害者的即時通信軟件來發(fā)送釣魚、欺詐類信息，政企單位應(yīng)對此類事件提高警惕，防范該木馬的攻擊。

安全防護(hù)

?鑒于RustDog釣魚木馬的活躍，360建議廣大政企機(jī)構(gòu)建立全面的數(shù)字安全防御體系，并安裝360終端安全產(chǎn)品攔截、查殺此類木馬。

安全防護(hù)

針對廣大用戶，我們給出如下需要重點(diǎn)關(guān)注的安全防護(hù)建議：

·安裝并確保開啟安全軟件，保證其對本機(jī)的安全防護(hù)。

· 對于安全軟件報毒的程序，不要輕易添加信任或退出安全軟件。

·下載軟件、文件時，注意識別下載地址，謹(jǐn)防釣魚頁面，推薦使用帶有防釣魚功能的360安全瀏覽器進(jìn)行訪問。

·如果曾經(jīng)運(yùn)行過此類木馬或者懷疑設(shè)備已經(jīng)中招，可以盡快使用360終端安全產(chǎn)品進(jìn)行檢測查殺。

IOCs（部分）

HASH

4b45026b5faeb8d744f0b141a5772fee

12880aa1bf0d2981c8d62322d8a58730

496427e5ce7a1ba83dcd520dbca357c1

e4300313c94c8b7a7ad9f347b94be810

e057ef7b0dd5ec18af600fd7b5add8a3

87287951799b09c207be8ace4d760548

IP:Port

43.132.194.41:1150

154.91.228.82:1150

38.47.220.97:1150

URL

hxxp://piaotongdd.top

hxxp://y8vv.cn/HmHPCh

hxxp://kgefbeewlgk.vip/HmvWMq

hxxp://yjndfvsfvsg.com.cn/Hmo9OB

hxxp://dianzifapiaoi.cn/HmEoBm

https://mp.weixin.qq.com/s/LrLZM2MhHSpgJxhwNb3tLw