银狐再起风波：2024税务抽查引战勒索风暴(2)

msi释放的应用程序会加载执行同目录下的同名dat文件中的恶意lua脚本，最终载荷为gh0st变种，与以往手法一致。
银狐相关团伙在qq群中发起钓鱼攻击
与此同时，安全研究专家也发现了黑灰产利用税务稽查局抽查企业的话题，通过仿冒税务局专管员在QQ上投放钓鱼链接的行为。专家从钓鱼链接中嗅到了不同寻常的气味，发现钓鱼诱饵以“发票”、“单据”、“税收”等极具诱惑性的名字命名，诱导企业财务出纳人员点击并传播钓鱼链接，利用白加黑的方式进行多阶段投毒。

在拓线过程中发现该团伙擅长盗用企业的数字签名并加上upx壳，利用白加黑的方式加载后续shellcode，利用此种方式进行免杀。

攻击过程详细分析
本次钓鱼活动中，该团伙首先进行信息收集，瞄准目标群体，通过群聊及邮件的方式进行钓鱼，在后渗透阶段则会使用cobaltstrike批量上线。
作案团伙的QQ号为：23XXXXXX12，注册信息如下所示：