新披露金眼狗黑产团伙：木马诱饵污秽不堪

该网址为博彩网站

且封禁了大陆的IP访问

这再次说明了，该团伙是针对在东南亚从事博彩，狗推行业的人员。通过代码特征进行关联，我们发现有的样本还伪装成360软件管家

同时我们找到了下载的另一个诱饵

湾汇支付是菲律宾的一个第三方支付平台，目前已经跑路

该团伙可能还参与了诈骗在菲华人的活动，其中有个同源样本连接了39399883.f3322.net动态域名，通过该域名我们又发现了一批样本，PDB路径
PDB
C:/Users/Administrator/Desktop/1.0+627+修复上线分组/ServerDat/mfcProject/Release/mfcProject.pdb

连接域名：chenyon1314.xyz。域名符合该团伙命名习惯，通过该域名又关联到了一批样本
PDB
C:/Users/Administrator/Desktop/大灰狼远程管理(V9.06)/修改无须控件版/Server(内存加载)/calculator/Release/calculator.pdb
通过PDB我们关联到了一批使用大灰狼远程管理(V9.06)的样本，内存加载利用的程序如下
内存加载利用程序
大写金额转换器
人事管理系统
五子棋
计算器
学生宿舍管理系统
又关联到了另一个域名www.xunqing888.xyz，该域名最近还在活跃，投递的文件名整理如下
诱饵名
柬埔寨的人肉市场越来越多了，在外面的朋友注意拉，图片为证。
老师和学生补习功课为理由在家里面搞起，被学生爸爸发现结果_一起上。.com
非洲大长卵搞日本女优叫天叫地，进来看看
支付账单详情20190810.pif
微信多功能体验版.com
碰巧的是，我们刚好在Telegram相关群组中偶遇了正在投递木马的该团伙成员

该样本回连的域名还是www.xunqing888.xyz，同时我们还在群组中找到了该团伙最新投递的样本
文件名
MD5
编译时间
功能
若任由香港暴力发酵，社会自我修正的时间将所剩无几
b65b16cb38101fe83edc4afc50cdf100
2019-11-07 01:30:46
第一阶段Downloader
南昌航空大学教师发表涉港不当言论_校方:严肃处理
b65b16cb38101fe83edc4afc50cdf100
2019-11-07 01:30:46
第一阶段Downloader
TTP发生了细小的改变，第一阶段Downloader从远程服务器下载3个文件
q0drurhbs.bkt.clouddn.com/z.rar
q0drurhbs.bkt.clouddn.com/z.sct
q0drurhbs.bkt.clouddn.com/temp.exe
z.sct内容如下

Dll-SideLoading所需的文件被打包成了RAR

Temp.exe为UNRAR解压程序

后续的攻击流程与之前一致。
连接的C2
103.233.10.85:5769
112.67.34.32:5767
 
诱饵名研究
我们通过各方渠道对收集的200多个样本的诱饵名进行分析，绘出如下图云。

从图中可以看出，高频词汇为：“博彩”、“骗子”、“色图”、“薅羊毛”、“菲律宾”、“柬埔寨”、“赌博”等，这与样本上传地的数据相吻合，上述样本上传地大部分为柬埔寨和菲律宾。
通过对完整诱饵名进行归纳，可以分为如下几类
1、色情类诱饵名
诱饵名
18岁女孩去夜店被迷奸赤裸裸的躺在沙发上。
OL女王爆乳翘臀黑丝长腿高跟太霸道了求跪舔
风流成性！丈夫拿自己妻子试药，随后多次约女网友见面
极品美女老师《H》
柬埔寨华人女子染上艾滋报复社会
2、时事新闻类
诱饵名
港警公布12日在港中大执法经过：为何校园变成“兵工厂”？
《覆活》曝前导预告片_王子邱胜翊首演保镖引期待
电影《一生有你》曝终极预告海报_初冬暖心告白共赴幸福之约
国台办证实：3名台湾居民在大陆被审查_涉嫌危害国家安全
今日14日凌晨，一名中国男子在金边桑园区公寓大楼坠楼身亡
3、UC震惊体，类似于国内导航站上面娱乐新闻的标题

上一页  [1] [2] [3] [4] [5]  下一页

 3/6   首页 上一页 1 2 3 4 5 6 下一页 尾页