关键词
2025 年开年以来,微步在线发现并协助处置多起针对央企、医疗机构等的大规模钓鱼诈骗事件。经深入研判,攻击溯源指向黑产团伙操控的“银狐”木马新变种。此次攻击范围广、隐蔽性强、反复性高,受害员工累计已超数千人,堪称年内最大规模的黑产攻击之一。
攻击特征
此次攻击有以下显著特征:
以企业 IM 渠道为主的钓鱼传播:攻击者利用微信、企业微信等社交平台建群,群发带有恶意文件或二维码的钓鱼信息,伪装成内部沟通内容,诱导受害者上当。
诱饵内容贴合热点、极具迷惑性:常见钓鱼主题包括税务抽查、DeepSeek 下载、成人网站验证、电子邮件登录等,采用 PDF、HTML、仿冒网页等形式,具有很强的伪装性。
攻击资源充足、持续活跃:钓鱼网站模板繁多、更新频繁,结合 SEO 排名优化技术提升搜索引擎曝光,极易诱导用户点击下载带毒文件。
感染反复、难以清理:银狐变种具备强免杀能力,能在系统中深度驻留,一些单位即便清除一次,也会因失陷资产被转卖而反复遭到攻击。
攻击特点
攻击资源丰富,恶意样本变种快,C2更新频次高,影响广泛,免杀和驻留能力极强。
平台
Windows
传播方式
部署虚假软件下载页面,并提高钓鱼网站在搜索引擎排行诱导下载;
以pdf,html文件伪装为税务局稽查局向辖区企业进行税务抽查,投递虚假公告,诱导受害者下载木马。
攻击地区
中国
攻击人群
企业普通员工、财税相关人员
攻击目的
远控、造成实际经济损失
影响与案例
多个受害单位的内部电脑被控制后,攻击者进一步利用中毒主机继续在企业内传播,包括:
被控终端通过微信/企微拉群发送钓鱼链接;
内部数据在暗网售卖,导致持续暴露;
部分受控终端被用作“跳板机”,参与更大范围的攻击活动。
类型
数量
图例
Google翻译
55
电子邮箱
6
货币转换器计算器 | 实时汇率
7
MissAV | 免費高清AV在線看
1
技术细节
银狐木马的技术栈持续进化,具备如下能力:
白加黑注入:加载正常程序的同时注入恶意 DLL 并执行核心木马逻辑;
多链式注入:构建“断链白链”机制,形成复杂进程关系链,隐藏主控逻辑;
计划任务与 RPC 建立持久化:通过远程调用方式创建服务或任务,增强生存性;
远控组件多样化:使用魔改 gh0st、IPGuard、固信等远控模块实施操作;
自保护能力显著增强:引入多个内核驱动程序,防止进程被结束、文件被删除、持久化项被清理。
整改建议
为应对此类持续性攻击,建议企业安全团队立刻行动:
成立专项应急小组,持续监控并追踪攻击源;
部署 EDR、DNS 安全、邮件防护等多种安全技术,提升威胁可视化与响应效率;
定期开展员工安全意识培训,特别是财务、人事等高敏岗位;
检查是否访问以下 IOC 域名/IP,并封禁相关资源。
部分 IOC 示例:
makefile
43.199.111.150:443
47.128.179.227:443
206.238.196.210:443
119.28.228.14:80
fafdafaf.shop来源:微步在线
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴