国家互联网紧急中心：“ youshe”黑人行业团伙组

5月23日，国家互联网急诊中心（CNCERT）今天报道说，CNCert和Antian共同监视了黑人行业团伙“ Youshou”（也称为Home Fox，Gu Fallen Fallen Thieves和Utg-Q-1000）。伪造的网站与官方网站非常相似，非常困惑。如果用户不了解和放电恶意安装程序包，则YouShe遥控器中的特洛伊木马会将其嵌入系统，从而允许目标设备的遥控器，从而窃取机密数据和其他操作。通过监测和监测，发现国内市场中在线肥大鸡的数量（由IP计数计算）超过17,000。攻击活动的分析攻击者使用“ Chrome浏览器”作为赌注建立网络钓鱼网站，并引起受害者下载网站的恶意安装程序包。图1 w站点播放EB的示例图2网络钓鱼网站的示例表1马里通过网络钓鱼网络地址下载和恶意安装程序包的排放地址是一个称为“ Chromex64.zip”的压缩软件包文件。图3中下载的恶意安装程序包包含两个文件，包括Chromex64.exe，文件分解，另一个是常规的DLL文件，但该文件名称以日，月和年的格式命名，并且怀疑它已更新以针对恶意程序进行更新。图4恶意安装程序包文件Chromex64.exe默认使用C：\ Chr0me_12.1.2在执行后。包含与Chrome浏览器旧版本有关的文件。由于软件未正确安装，因此无法正确更新浏览器。图5安装程序启动的文件解密程序并创建直接访问桌面的文件，但在Reathe快捷方式中是该活动传递的恶意文件，它不仅以仪表为单位执行，而且还启动了Chrome BR涵盖恶意快捷函数的OWSER过程。图6伪造的Chrome快捷方式的相应路由文件如下，并以DLL Sideload（白色 +黑色）的形式执行。图7所提供的恶意文件实际上是在内存中解密的，并执行了ShellCode。 ShellCode基本上是DLL格式GH0ST遥控家族的变体。图8在内存中加载GH0º遥控木马后，DLL连接到C2 duooi.com:2869地址。域名记录在2025年2月19日。目前，最后一个样本主要要求域名。图9。C2地址的连接基于与智能有关的域名解决的IP地址。事实证明，在他根据任务不断注册域名之前，并将其编码在加密的ShellCode文件中。一些较旧的域名也已被IP替换。地址，所有域名在样本中两次交换分析。表2域名Mapeo ATT CK地图的样本更改C2显示10 att CK技术行为如下：表3 ATT CK CK CK技术行为通过监视和分析（从4月23日至2025年5月12日）进行监控和分析，总计“ Yunser”使用“ Yunser”的镇静工具数量最多可达到17,000个单元，并最多可达到17,000个Visits，总计12.12 keles 44,000，000,000，000,000，00,000，00,000，00,000，00,000，00,000。以下是中国每天在线增生鸡的数量：图11：预防每天的国家在线肥大数字。加强风险意识，改善安全性预防和避免不必要的经济损失。主要建议包括：（1）我们建议您从官方网站统一购买和下载真实软件。如果您没有官方网站，建议您使用可靠的来源下载它。下载后，使用您的防病毒软件扫描和验证文件的哈希。 （2）Ori未知打开杜松网站的链接nd安装未知来源的软件。 （3）提高密码的强度，避免使用弱密码，密码配置必须满足安全要求并定期更换。建议使用16位或更多的密码，包括带有类和小写字母的字母，数字和符号，同时避免使用多个服务器上的相同密码。 （4）订购现有资产列表以快速修复相关系统中的漏洞。 （5）安装终端的保护软件，并定期执行病毒的完整预防。 （6）如果发现房东感染了僵尸特洛伊木马计划，请立即验证主机的受控状况和入侵路线并清洁受害者的主人。 MD5相关的COI样本：A1EAD0908ED763AB1336770110F3B9BD7ED74A6767676765FFFEE355565395142D8B410FAC344D2FAC344D2F74D479F79F79F79F79F7FE4FE4A6D19777777777777777777777754 [44] ] 233,164,13161 [。 ] 110.5.21137 [。 ] 220.131.139137 [。 ] 220.131.140域：Hiluxo [。 ] comitamic [。 ] comsimmem [。 ] com戈洛梅[。 ] commduoi [。 ] comsadliu [。 http [：] // google-chrom.cnhttps [：] // google-chrom.cnhttps [：