UTG-Q-1000近期仿冒Zinst等软件分发银狐木马新变种

admin 2026-07-14 06:01:34 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 奇安信威胁情报中心披露UTG-Q-1000黑产团伙自2026年6月起投递仿冒Zinst等软件的银狐木马新变种。样本分MSI和EXE两类,MSI为4字节占位文件,EXE通过修改ZwTraceEvent函数禁用ETW。最终载荷采用白加黑方式,创建TCLService服务、注册表自启动和计划任务实现持久化,并篡改hosts文件。建议加强安全意识培训,使用云沙箱检测可疑文件。 综合评分: 88 文章分类: 恶意软件,威胁情报,社会工程学,红队,应急响应


#

bNaRDL

最终落地攻击载荷采用”白加黑”(DLL侧加载/劫持)利用形式,以合法签名程序(白文件)作为加载宿主,其侧加载的黑DLL文件经加密保护处理,运行时解密后释放前述内核驱动文件。

并为此创建名为TCLService的服务。

样本通过命令行以参数传递形式创建计划任务,通常调用schtasks/Create指令,将任务名称、触发条件、执行路径等配置项以命令行参数形式一次性传入。

完整命令行参数形式如下所示。

此外,样本对主机hosts文件(C:\Windows\System32\drivers\etc\hosts)进行了篡改,新增内容如下图所示:

#

IOCs

域名:

jun616.oss-cn-beijing.aliyuncs.com

q706nw.oss-cn-beijing.aliyuncs.com

z6ywy4.oss-cn-beijing.aliyuncs.com

new629.oss-cn-beijing.aliyuncs.com

f6h6ue.oss-cn-beijing.aliyuncs.com

IP:

8.210.32.229:28290

47.243.224.111:7090

样本Hash:

01bfa663d321380b96df6c9db0d1565c

1b2283d43d38a5e8ab74756138184944

21a711ef701d15f4c03d9de2f763e61b

3b033f53bea722feb04b95c003a90f31

4ffa4766e50d5f0b79840ee3a2200894

5856b8cc29112c1e754e830ed5d7a55e

65306d40e9da7a0720a45b06d25e11f2

68714f4aae6c6cc024cfcd983bc115f3

767f10a28be50b095f7c2d6c7f2e5008

79bad2ec3f6c6f1d22dd83cdb705a903

7c78cd36b7dbcb2d7aec1afb683e5ce7

9082e7cb5cafdeac18daad8dd666fce9

9787ae2cded5b1af8b887b5cbf363a13

a8ad56d9cf08ef1ccaa58ac8444b1326

aa16438dfe28597f7de2d90fa41f67ca

b6ac8ec1434d06bb9e8a98cd8c7a363c

bf8a664a8b927857932e17b662b7deaa

c6f09eed8e7d76a3fb370ea5b0a61fd0

cf3b07918ea205e44b6a021c798b50fe

e4dd9e2c6f6c74ac43348d526721eca6

e5499a28e3bbb4dd4211c2df113dba64

e5e6acbf33c905beb20152f04d12e167

eca1fa07a70e52e2f0d404fa9052a0d3

f284ec241966aa34819fb55d8cfa7e81

f3a849c16564222b038e0447d3d9b079

#

总结

除Zinst系列外,还监测到以”裁员名单及补偿方案””违规人员名单”等主题的投递样本,经溯源归因,均出自UTG-Q-1000黑产团伙。

该团伙以社会工程学为核心驱动,擅长围绕社会热点事件(如企业裁员、违规通报等)构造高迷惑性的投递主题,诱导目标用户点击执行恶意文件,实现初始突破。

因此各环节人员的安全意识成为防御体系的关键变量。建议加强全员安全意识培训,明确要求:不随意点击来路不明的链接或附件,不打开未知来源的可执行文件。如发现可疑文件,可通过奇安信云沙箱(https://sandbox.ti.qianxin.com/sandbox/page)上传进行自动化恶意行为分析,以提前识别风险、阻断投递链。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:奇安信威胁情报中心 威胁情报中心 威胁情报中心《UTG-Q-1000近期仿冒Zinst等软件分发银狐木马新变种》

评论:0   参与:  0