近日,微步发现并参与处置了多起大型央企、医疗机构等被黑产大规模拉群钓鱼、诈骗钱财的网络安全事件。经过关联分析和综合研判后,微步认为“银狐”最新变种正在集中引发大规模网络攻击,广泛影响中大型企业,累计受影响员工数千人以上,堪称2025开年以来最大规模的黑产攻击。
本次攻击发现和处置难度前所未有,原因如下:
1. 企业IM成钓鱼攻击“集散地”,难以分辨。攻击者大量使用企业IM(如企业微信)拉群传播恶意文件和诈骗二维码,单位员工分辨较难,容易受骗,因此几乎每起攻击事件都会引发钱财损失;
2. 钓鱼途径多样,诱饵紧贴时事、高度逼真。攻击者用以仿冒钓鱼的主题包括但不限于税务局稽查局、DeepSeek、谷歌在线翻译、公共电子邮件登录入口,甚至伪装为成人网站,详情见后文。
3. 黑产攻击资源丰富,攻击规模大、时间持久。恶意域名更新频次极高,恶意样本变种快、分布广,影响企业数量极多,仅限制部分ip黑名单不能完全防范。
4. 极难发现和清理,攻击反复。“银狐”最新变种在免杀对抗和驻留技术上有极大提升,导致部分单位的攻击事件反复出现。
一、近期银狐攻击概览
二、钓鱼手法的超进化
黑产团伙在投递木马程序时,以财税相关主题诱饵文件和或部署各类软件仿冒站点为主,使大量企业受害。
在财税相关主题诱饵上,近期主要以pdf,html文件为主,伪装为税务局稽查局向辖区企业进行税务抽查,投递虚假公告,诱导受害者访问木马下载地址,下载木马进行远控:
在部署各类软件仿冒站点时,攻击者进行模板化部署,钓鱼网站更新频繁多样,近期更以DeepSeek等热点AI工具为主题分发携带后门的木马程序,结合搜索引擎SEO技术,使钓鱼网站位列搜索引擎关键字结果前几名,受害者难以分辨。
仅以“安装Flash插件钓鱼模板进行投毒”手法为例,3月份就新增的钓鱼站点多达69个:
此外攻击者紧跟时事,发布了伪装成DeepSeek主题的钓鱼网站模板:
同时,企业受害员工电脑被控,通过微信、企业微信等IM拉群、群发链接或者有毒附件的攻击事件也大量发生:
部分受影响企业的失陷资产在暗网被售卖,导致反复出现安全事件:
三、免杀技术的超进化
(1)大量的白加黑应用
银狐采用白加黑手法加载同目录下的黑dll文件,通过黑dll拉起同目录下的子进程并进行解密,以隐藏银狐的上线模块。
(2)新型注入方法使用
详情如下图:
(3) 使用多重注入形成断进程链的同时,构建注入的白链
详情如下图
(4)使用rpc远程创建计划任务和服务进行持久化
手法见《银狐叒进化,溯源不了,清理不掉!》但更为完善,可以关注微步在线公众号了解详情。
(5)远控工具多样化
目前银狐木马采用了各类魔改的gh0st和多样化的商业远控,如IPGuard,固信等。
(6)自保和对抗能力增强
此次银狐会使用多个驱动保护自身不被结束,其关联的文件不被删除,其创建的持久化项不被清理,确保驻留。
四、应对措施
微步建议广大企业安全运营团队立刻采取措施:
1. 积极应对活跃黑产,成立专项运营小组、制定计划;
2. 应用有效的EDR技术,快速发现威胁并进行响应;
3. 提高员工安全意识,警惕伪装成内部员工拉群的钓鱼攻击,扫描转账前一定要多方核实,提高特定部门尤其是财务的安全意识宣导。
