文章总结： 银狐黑客利用所得税钓鱼邮件攻击印度组织。受害者经PDF附件诱导下载恶意文件，攻击者通过DLL劫持技术利用合法程序加载恶意代码，规避检测。最终载荷ValleyRAT具备反分析能力及多层C2故障转移机制，能在内存中执行并窃取凭据、记录键盘，实现长期持久化控制，对企业威胁极大。 综合评分： 83 文章分类： 威胁情报,恶意软件,社会工程学

银狐黑客利用所得税钓鱼诱饵攻击印度组织

铸盾安全

河南等级保护测评

2026年1月2日 01:51

“银狐”的网络犯罪分子正通过精心设计的网络钓鱼活动，冒充合法的所得税文件，攻击印度组织。该攻击活动利用看似真实的税务部门电子邮件诱骗用户下载伪装成税务相关文件的恶意可执行文件。

一旦点击，受害者将被重定向到命令与控制服务器，该服务器会启动一个复杂的感染链，旨在绕过安全防御并建立对受感染系统的持久访问权限。

攻击始于一封带有PDF附件的欺骗性电子邮件，附件中包含一家印度公司的名称。打开该PDF文件后，会跳转到一个恶意网站，该网站会下载一个名为“tax_affairs.exe”的文件。

该初始有效载荷充当多个恶意软件阶段的加载器，每个阶段都旨在隐藏其真实目的，同时保持对受害者系统的深度访问权限。

该威胁表明攻击者如何利用社会工程文档结合可信文件格式来绕过传统的安全控制。

CloudSEK 分析师在调查报告的第二段中发现了该恶意软件，并指出该攻击活动此前被错误地归咎于其他威胁组织。

这一发现凸显了准确的威胁归因如何防止组织对真正的对手部署错误的防御措施。

了解攻击的真正来源，可以让安全团队预测未来的攻击策略，并实施针对 Silver Fox 行动模式的有针对性的反制措施。

DLL劫持

该感染机制依赖于一种名为DLL 劫持的技术来激活主要有效载荷。第一阶段会投放一个名为 Thunder.exe 的合法可执行文件。这个已签名的二进制文件被恶意利用，攻击者在同一个临时目录中放置了一个名为 libexpat.dll 的恶意 DLL 文件。当 Thunder.exe 运行时，由于 Windows 默认的 DLL 搜索顺序，它会加载这个伪造的 DLL 文件而不是真正的 DLL 文件，从而在看似完全合法的情况下执行攻击者的代码。

恶意 DLL 在进行实际感染活动之前，会实施广泛的反分析功能。

它会扫描正在运行的进程，以检测安全研究工具和沙箱，然后检查系统资源，确保机器满足感染的最低要求。如果发现分析工具，恶意软件会自行终止以避免被检测到。

系统通过这些检查后，DLL 将禁用 Windows 更新服务，并从临时目录加载一个名为 box.ini 的加密文件。

该加密有效载荷使用硬编码的加密密钥进行解密，并作为原始机器代码直接在系统内存中执行，在硬盘上留下的痕迹极少。

最终的有效载荷是 Valley RAT，这是一种远程访问工具，可在受感染的系统上建立永久的命令和控制基础设施。

Valley RAT 使用复杂的三层故障转移系统来保持与攻击者服务器的联系，如果连接失败，则自动在主指挥中心、辅助指挥中心和备用指挥中心之间切换。

该恶意软件将其配置以二进制数据的形式存储在Windows 注册表中，允许攻击者在不重新安装恶意软件的情况下更新命令和控制地址。

它支持多种通信协议，包括HTTP、HTTPS和原始 TCP套接字，因此很难使用简单的网络过滤进行阻止。

Valley RAT 一旦安装完成，即可执行攻击者命令、捕获键盘输入、收集凭据、传输文件，并按需部署其他恶意模块。

模块化架构允许操作者根据目标在受感染组织中的价值和角色，定制每次感染的特殊功能，这使得印度企业面临特别危险的威胁。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全《银狐黑客利用所得税钓鱼诱饵攻击印度组织》