银狐木马开启围猎_东南亚诸国沦为猎场

2026-04-09 19:02:39
我要分享


微信扫码分享

围猎东南亚

由于近期一些东南亚国家进入一年一度的报税、薪资审查时段，银狐木马组织便发送有针对性的鱼叉网络钓鱼邮件进行攻击。银狐木马组织利用与财务相关的诱饵文件，诱使收件人打开恶意链接或文件。由于邮件主题通常涉及财税、薪资调整等关键词，不少公司职员放松警惕，进而在不明所以的情况下打开邮件附件中的恶意文件或邮件文本中的恶意链接。

从我们捕获到的具体案例来看，邮件附件中的恶意文件带有如下数字签名：

SyncFutureTec Company Limited

该软件是南京某科技公司开发的商业软件产品，属于合法的正规远程控制类软件，但遭到了银狐木马组织的恶意利用。一旦用户被诱导执行了恶意软件，用户机器就会被远程控制，最终导致受害用户的敏感数据被窃取、用户活动被监控。更有甚者，受害设备可能被进一步作为跳板，发起对其所在公司网络的攻击，致使攻击的威胁范围进一步扩大。

木马分析

分析我们捕获到的攻击事件，发现受害用户会收到一份钓鱼邮件。邮件附件的压缩包名称为“Tax Assessment Letter.zip”，压缩包中其实是一个被恶意利用的远控工具。

图1. 附件压缩包的文件信息

该远控工具的签名是“SyncFutureTec Company Limited”，工具安装包若以特定的命名方式命名，则可在安装过程中自动配置其安装完成后的远程C2地址。命名格式为

[IPv4]Clientsetup.exe

其中的[IPv4]字符串就是用来充当C2地址的。攻击者利用合法远控工具中配置处理程序的错误配置，直接通过文件名传递C2参数，从而避免了因修改文件导致签名失效的问题。而由于该软件带有我国南京某科技公司的合法签名，导致部分安全公司会对该软件直接信任并放行。

图2. 被利用的远程控制软件带有合法数字签名

该软件是终端安全管理平台，具备远程监控和管理功能，旨在让管理员能够完全控制终端设备。此外，它还包含远程协助功能，使管理员能够同时远程控制多台计算机，支持双屏远程会话并提供高速远程桌面访问。通过对合法企业安全产品的利用，攻击者获得了一个功能强大的一体化框架，可用于长期的间谍活动。它不仅为攻击者提供了窃取数据的工具，还为他们提供了对受损环境的精细控制、实时监控用户活动以及确保自身持久性的工具。

该软件安装后会在以下文件夹释放所需文件：

C:\Windows\SysWOW64\msres

而该msres文件夹被设置为只读和系统隐藏属性。