银狐再起风波：2024税务抽查引战勒索风暴(7)

该团伙使用香港地区ip作为服务端存放样本，并使用HFS框架，与之前手法一致：

该团伙以往经常使用HFS搭建文件存储服务，下载一个税务稽查、律师函之类比较敏感的文件，最后释放gh0st远控。
亚信安全应对之策及安全建议
银狐相关团伙采用向即时通讯软件的桌面客户定向发送钓鱼链接的策略，诱使用户激活并执行恶意代码。这个过程不仅广泛影响众多用户，而且针对性地在特定群组中进行传播，使得这种攻击既普遍又隐蔽。这种既广泛又有选择性的传播策略，对现有的网络安全防御构成了严峻挑战，因为它充分利用了用户对日常使用通讯工具的信任和依赖，从而使得恶意软件的传播更为隐蔽，给早期检测和应对带来了复杂性。
在此次攻击活动中使用的手法总结如下：即时通讯软件中投放钓鱼链接、定向发送钓鱼邮件、钓鱼诱饵以“税收”、“票务”等为主题、利用阿里云函数对C&C进行隐藏、使用香港ip作为服务器、搭建HFS平台储存样本、样本使用upx加壳、盗用企业签名、利用白加黑加载恶意dll、后渗透阶段使用cobaltstrike加载shellcode。
天穹ImmunityOne是亚信安全部署在公有云上的XDR SaaS平台，基于云原生（Cloud Native）架构实现多租户管理，将采集到的高保真数据集中存储形成安全数据湖，由威胁分析专家根据安全事件线索进行威胁狩猎，提炼威胁情报，共享至全网所有客户，实现高级威胁的“一地检测，全网免疫”。ImmunityOne现已能对此次事件进行检测：