新披露金眼狗黑产团伙：木马诱饵污秽不堪

执行流程如下。

 
关联分析
通过代码特征关联，我们发现该团伙2019年三月份开始使用这种手法进行攻击，利用的白样本各种各样，整理后的表格如下
文件名
来源
IMECommonDownload.exe
百度输入法
queryInstallLsp.exe
迅游加速器
tgp_minibrowser.exe
WeGame内置浏览器
QQMusic.exe
QQ音乐
QTCapture.exe
QT语音
且投放时这些payload大部分都在该团伙注册的七牛云服务器上
ITW
http://putj2l6mp.bkt.clouddn.com/1.exe
http://pta7l9xuf.bkt.clouddn.com/1.exe
http://ptfv5y9m3.bkt.clouddn.com/1.exe
http://psk4iauap.bkt.clouddn.com/1.exe
http://psk4iauap.bkt.clouddn.com/1.exe
http://globaltopgarlic.com/Junction.exe
关联到四个域名
域名
dpcq999.com
sudaqiang123.com
globaltopgarlic.com
test.microsft-update.com
通过关联test.microsft-update.com的子域名可以得到一批2017-2018年的老样本，可以看到在这两年的时间里该团伙的水平还仅限于对大灰狼源码的修改阶段，免杀效果很差。
PDB
PDB
E:/MyProject/New/历史版本/20170919_1314/Inst/Release/Inst.pdb
其释放的DLL有两个模块
第一个模块为远控

第二个模块是挖矿程序，XMRig 2.4.3版本

我们通过研究该团伙成员注册的域名，大致了解了团伙成员的一些习惯，注册的域名大部分为字母加数字，且喜欢注册Test子域名用来测试样本。以www.bestriven123.com为例，bestriven一词源于《英雄联盟》游戏，意为“最强锐雯”，该词被广大英雄联盟玩家作为ID使用，该团伙成员应该为游戏玩家，

我们再研究sudaqiang123.com，sudaqiang拼音转成汉字为苏大强，《都挺好》电视剧的男主角，该域名注册时间为4月份

而电视剧上映时间为3月份，可以大致推测该团伙成员可能看了电视剧之后注册的这个域名，由于该名称非常罕见，通过Google搜索，我们发现了其在欧洲跳蚤市场上注册的账号，账号注册时间和域名注册时间很接近，且最近还在活跃，可以基本确认该团伙成员应该位于海外。

经过海量数据查询，使用该团伙木马的诱饵名如下
诱饵名
有露脸 逼逼特写.exe
用国旗作微信头像违法吗？听听律师怎么说.exe
近百人犯罪团伙隐身柬埔寨_仿冒博彩网站诈骗
东南亚狗推黑名单曝光群 3175882.com
海尔置业福建项目停车场垮塌，造成8死2伤
在线视频播放 – 无需安装任何播放器.exe
见到这4名涉黑嫌疑人快报警！最高奖50万
通过开源蜜罐数据，我们得到了一个疑似符合该团伙命名习惯的动态域名chiji.f3322.net，该域名曾经用于投递上述payload，VT上显示有一个关联样本，时间为2018年初。主要功能为DDOS，有趣的是该样本的PDB路径
PDB
c:/Documents and Settings/Administrator/桌面/120170930源码集合/20170930源码集合/20170709小七vip压力测试专业版1.1源码/NewTest/Release/fack.pdb

通过PDB关联到另一批样本，其中包含了linux平台的DDOS样本，提交时间仍是2018年初

经过多维度关联，我们发现了一个手法相似的样本，名为链接.exe，初始样本都是Downloader，后续使用Dll-SideLoading技术

本次劫持的是苏州蜗牛游戏（fxgame.exe）

同时从远程服务器上下载JPG或者txt并打开来迷惑用户，由于其TTP相似，我们将其归类为该黑产组织，其中从远程服务器下载的1.txt引起了我们的兴趣，内容如下

上一页  [1] [2] [3] [4] [5]  下一页

 6/6   首页 上一页 4 5 6