事件背景
近期奇安信威胁情报中心通过云沙箱捕获到多个UTG-Q-1000黑产团伙的新银狐木马变种,这批新变种从2026年6月初起开始投递使用,根据奇安信威胁情报中心的检测,该系列变种近期呈高密度、持续性的活跃态势。

样本情况
这批样本按文件类型主要分为两类:一类为MSI安装包格式,另一类为EXE可执行文件格式。两类载体均为Windows平台常见投递形态。
MSI系列

MSI文件命名特征呈现两类规律:第一类以"zinst."为前缀,后接9位数字组合;第二类以"zinstall-setup"为前缀,后接8位数字组合。针对部分文件名相同但哈希值不同的样本,已按"原始文件名_重复序号"的格式进行重命名以作区分。该命名规则高度结构化,说明样本可能由自动化生成工具按模板批量产出,符合规模化投递的典型行为特征。

样本分析
使用MSI分析工具对样本进行结构解析后发现,文件内部无法提取有效组件信息,存在明显异常——样本大小仅为4字节,远小于正常MSI安装包的合理体积。该异常表明此类文件并非真实MSI安装包,极可能为占位型载荷或投递环节中的诱饵文件。

经进一步对文件属性与结构信息分析,发现样本存在仿冒其他软件特征。该伪装手法旨在利用合法软件组件降低目标防御体系的警惕性。经对 MSI 样本进行全面交叉核查,其主要仿冒对象可归为两类:一类仿冒腾讯(Tencent)Agent DLL,另一类仿冒阿里(Alibaba)Agent DLL。
以“zinstall-setup”的MSI仿冒腾讯Agent DLL文件信息。

以“zinst.”的MSI仿冒阿里Agent DLL文件信息。

借助进程监控工具,捕获到样本执行期间的命令调用行为。具体调用链如下:

值得注意的是,样本在运行过程中呈现出明显的前后台行为分离特征:前台用户界面尚在执行安装流程时,后台服务侧已同步触发恶意调用链。该"前台安装、后台执行"的双面行为模式,利用用户对安装程序的惯性信任掩护真实恶意操作。

对该进程进行附加调试后发现,其内存空间中加载了名为msia013.tmp的临时文件。该文件命名与MSI安装过程产生的临时文件特征高度吻合,推测安装包在运行阶段释放了相应载荷。

经文件搜索定位,该临时文件的实际落地位于如下目录,该目录是系统将通过MSI方式安装的软件包副本缓存于此,用于后续的修复、卸载、补丁升级等操作。

将C:\\Windows\\Installer目录下释放的MSI文件与原始投递安装包进行哈希值比对,结果显示两者完全一致。该发现表明,样本并未在落地阶段对安装包本体进行篡改或重新封装,而是直接将原始MSI复制至系统Installer缓存目录。

经对msia013.tmp深入分析,该文件为64位DLL文件,采用VMProtect(VMP)加壳保护,文件创建时间为2026年6月11日。

对最终解密提取的Payload进行分析,其执行后发起以下网络请求行为:

EXE系列
EXE文件共计9个,其命名特征与MSI类型同源但略有差异,呈现两类规则:第一类以"zinst"为前缀,后接11位数字组合;第二类以"zinstaller-"为前缀,后接8位数字组合。两套命名体系均高度结构化,且与前述MSI样本的命名规则("zinst."+9位、"zinstall-setup"+8位)存在明显关联,进一步印证Zinst系列采用自动化模板批量生成投递文件,跨文件类型维持统一的命名范式,为同类样本的关联归因提供了稳定的指纹特征。

样本分析
样本通过修改ZwTraceEvent函数头字节为ret(立即返回指令),对该关键内核接口实施运行时Hooking。ZwTraceEvent是Windows内核中ETW事件跟踪基础设施的最终底层写入接口,负责将系统及应用程序事件写入跟踪会话。一旦该接口被拦截,ETW事件记录通道将完全失效,导致终端安全产品无法通过事件跟踪机制感知后续恶意行为。

样本执行过程中通过动态内存分配在地址0x810000处开辟内存空间。

样本通过以下代码对内部加密数据进行解密处理,并将解密后的载荷直接写入前述分配的0x810000内存空间中。

跳转至一阶段payload执行。

通过API函数修改内存属性,从而能够使其执行代码。

跳转至二阶段payload执行。

样本内部预置了加密的C2地址数据片段,运行时通过拼接操作对分散存储的加密字段进行组装。

从样本二进制中提取的外部数据片段与内部预置的加密字段进行拼接重组后,成功还原出完整的加密C2信息。

通过43da25函数对加密URL进行解密,解密后完整C2信息如下所示。

经比对分析,EXE类型样本与前述MSI样本最终释放的Payload完全一致,执行后发起以下网络请求行为:

Payload
样本执行后在系统中创建了名为TCLService的Windows服务,实现持久化驻留。

样本在注册表HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run创建自启动项用于开机自动执行,是最常见的自启动方式之一。

样本在系统中创建计划任务,具体配置如下图所示。相比注册表Run键的单一触发机制,计划任务可灵活设定触发频率、运行时间窗口及重试策略。

经进程监控工具最终捕获,样本执行后发起的C2回连地址信息如下图所示:

ranchserv.jpg
经深入分析,该文件实为内核驱动文件格式为.sys,核心功能为根据进程ID强制终止目标进程。驱动运行于系统内核层,拥有最高执行权限,可绕过用户态安全产品的进程保护机制,强制终结杀软、EDR等防护进程

bNaRDL
最终落地攻击载荷采用"白加黑"(DLL侧加载/劫持)利用形式,以合法签名程序(白文件)作为加载宿主,其侧加载的黑DLL文件经加密保护处理,运行时解密后释放前述内核驱动文件。

并为此创建名为TCLService的服务。

样本通过命令行以参数传递形式创建计划任务,通常调用schtasks/Create指令,将任务名称、触发条件、执行路径等配置项以命令行参数形式一次性传入。

完整命令行参数形式如下所示。

此外,样本对主机hosts文件(C:\\Windows\\System32\\drivers\\etc\\hosts)进行了篡改,新增内容如下图所示:

IOCs
域名:
jun616.oss-cn-beijing.aliyuncs.com
q706nw.oss-cn-beijing.aliyuncs.com
z6ywy4.oss-cn-beijing.aliyuncs.com
new629.oss-cn-beijing.aliyuncs.com
f6h6ue.oss-cn-beijing.aliyuncs.com
IP:
8.210.32.229:28290
47.243.224.111:7090
样本Hash:
01bfa663d321380b96df6c9db0d1565c
1b2283d43d38a5e8ab74756138184944
21a711ef701d15f4c03d9de2f763e61b
3b033f53bea722feb04b95c003a90f31
4ffa4766e50d5f0b79840ee3a2200894
5856b8cc29112c1e754e830ed5d7a55e
65306d40e9da7a0720a45b06d25e11f2
68714f4aae6c6cc024cfcd983bc115f3
767f10a28be50b095f7c2d6c7f2e5008
79bad2ec3f6c6f1d22dd83cdb705a903
7c78cd36b7dbcb2d7aec1afb683e5ce7
9082e7cb5cafdeac18daad8dd666fce9
9787ae2cded5b1af8b887b5cbf363a13
a8ad56d9cf08ef1ccaa58ac8444b1326
aa16438dfe28597f7de2d90fa41f67ca
b6ac8ec1434d06bb9e8a98cd8c7a363c
bf8a664a8b927857932e17b662b7deaa
c6f09eed8e7d76a3fb370ea5b0a61fd0
cf3b07918ea205e44b6a021c798b50fe
e4dd9e2c6f6c74ac43348d526721eca6
e5499a28e3bbb4dd4211c2df113dba64
e5e6acbf33c905beb20152f04d12e167
eca1fa07a70e52e2f0d404fa9052a0d3
f284ec241966aa34819fb55d8cfa7e81
f3a849c16564222b038e0447d3d9b079
总结
除Zinst系列外,还监测到以"裁员名单及补偿方案""违规人员名单"等主题的投递样本,经溯源归因,均出自UTG-Q-1000黑产团伙。
该团伙以社会工程学为核心驱动,擅长围绕社会热点事件(如企业裁员、违规通报等)构造高迷惑性的投递主题,诱导目标用户点击执行恶意文件,实现初始突破。
因此各环节人员的安全意识成为防御体系的关键变量。建议加强全员安全意识培训,明确要求:不随意点击来路不明的链接或附件,不打开未知来源的可执行文件。如发现可疑文件,可通过奇安信云沙箱(https://sandbox.ti.qianxin.com/sandbox/page)上传进行自动化恶意行为分析,以提前识别风险、阻断投递链。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。