来源: https://telegra.ph/%E7%96%91%E4%BC%BC%E9%93%B6%E7%8B%90%E9%92%88%E5%AF%B9%E4%B8%8D%E5%90%8C%E4%B8%BB%E9%A2%98-Telegram-%E7%BE%A4%E7%BB%84%E5%AE%9E%E6%96%BD%E6%89%B9%E9%87%8F%E5%8C%96%E7%A4%BE%E5%B7%A5%E6%8A%95%E9%80%92%E7%9A%84-Winos4ValleyRAT-%E6%9C%A8%E9%A9%AC%E6%B4%BB%E5%8A%A8%E5%88%86%E6%9E%90-03-21
概述
近期,我们频道的技术团队连续接到多起可疑样本投稿。投稿样本虽然在外层文件命名、文件内容伪装和社工主题上存在差异,但在执行链、下载逻辑、落地路径、侧载方式和通信配置上表现出高度一致性。结合投稿来源信息研判,这批样本并非针对单一场景投放,而是疑似由同一黑产团伙根据不同群组主题进行批量定制分发。
现有线索显示,相关样本主要来自不同类型的 Telegram 聊天群、资源分享群和垂直兴趣群。攻击者疑似先批量获取目标群组并加入,再依据群组内容方向调整诱饵名称和文件包装形式,例如围绕影视资源、软件下载、工具分享、求职资料、行业文档等主题更换文件名,以提高点击率和投放成功率。
在对多份投稿样本进行比对后,我们发现,不同样本虽然表面名称不同,但其内层投递逻辑高度趋同:均以快捷方式或伪装文件作为入口,调用 PowerShell 下载诱饵文档与后续载荷,随后通过合法签名程序侧载恶意 DLL,并释放或解密隐藏模块,最终建立对外通信。该攻击链与公开披露的 Winos4 / ValleyRAT 活动特征高度一致,并与银狐相关威胁活动存在明显重叠。
“银狐木马”,又名“游蛇”或“谷堕大盗”等,该名称因为被广泛使用,现已不再指代某一特定家族木马,而是逐渐变为对一类木马程序的通称。其主要是依托钓鱼攻击进行传播的一类远程控制类木马, 目前银狐木马已成为国内最为活跃的木马家族。
事件背景
本轮分析始于短时间内接连出现的多份可疑文件。最早提交的样本名为 “接口免費TV.zip”,外观上伪装成与资源获取相关的内容文件或快捷方式,具有一定迷惑性。随后,团队又陆续收集到其他同源样本 [接口8+1.lnk],并发现攻击者并非重复使用固定文件名,而是会根据不同群组的主题和受众,灵活调整诱饵标题。
注: 经追溯,样本文件最早出现于 2026-03-06,相关投放活动最早可追溯至 2026-03-13
与常见的无差别投放相比,这类样本更像是围绕群组语境进行定制传播。攻击者会选择更贴合群组兴趣的名称和图标进行伪装,使恶意文件在聊天环境中看起来更像普通分享内容。这种方式在社交平台、即时通讯群组和半封闭社区中更具欺骗性,也更容易降低用户的第一反应警觉。
在技术层面,这批样本也不是直接运行木马程序的简单方式,而是采用了较完整的多阶段攻击链。外层诱饵负责触发下载和掩护,中间的白文件用于降低告警,内层 DLL 与隐藏载荷则承担实际的控制、注入和通信功能。整体来看,这条链路具备较明显的工程化特征,其背后操作者应具备一定成熟度的投递和对抗能力。
技术分析
综合多份投稿样本的静态特征,我们认为该活动至少具有以下特点:
传播层面呈现“批量加群、按主题改名、定向投放”的明显特征。
样本内出现的配置结构、注册表痕迹、执行代理方式和网络伪装思路,与公开的 Winos4 / ValleyRAT 样本高度相似。
攻击流程
一. 初始执行阶段
攻击入口为伪装的快捷方式 xxxx.lnk。静态解析表明,该文件并不是普通文档,而是一个恶意快捷方式,目标程序指向
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
并通过 -EncodedCommand 方式执行经过 Base64 编码的 PowerShell 脚本。
伪装为.lnk 文件中隐藏的恶意命令,这串 Base64 编码的脚本是一个典型的多阶段下载器
对脚本内容解码后发现,其主要执行逻辑包括删除当前目录中的 mybook.lnk、从远程服务器下载 mybook.pdf 并立即打开、创建 %APPDATA%\Microsoft\MMC 目录、下载压缩包 myself2.zip,随后释放并执行后续组件。首跳下载地址明确为:
http[:]//134[.]122[.]128[.]135[/]mybook[.]pdf
http[:]//134[.]122[.]128[.]135[/]myself2[.]zip
由此可确认,134[.]122[.]128[.]135 是本次样本的首跳投递服务器
解码后的真实脚本,PowerShell 以隐藏模式执行并下载真实载荷myself2.zip和伪装文件mybook.pdf
二. 诱饵掩护阶段
样本下载并打开的诱饵文档为 mybook.pdf。对该文件进行静态分析后,未发现 /JavaScript、/OpenAction、/Launch、/EmbeddedFile 或外部 /URI 等典型恶意 PDF 触发特征。其结构表现为标准 PDF-1.5 文档,页数正常,包含内部目录、跳转和批注对象,更接近一份正常的阅读材料。
这说明诱饵 PDF 并不是本次攻击的核心执行载荷,而是用于掩护后台恶意行为的社工组件。攻击者通过在前台打开一份“看起来正常”的文档,降低受害者对后台下载、解压和执行恶意文件的警觉性。
三. 白加黑
压缩包解压后,脚本依次执行了 chgport.exe 和 vmtoolsd.exe。这两个可执行文件均为合法程序,且带有有效数字签名:
chgport.exe 为 Waves 官方程序
vmtoolsd.exe 为 VMware Tools 组件
单独分析这两个 EXE,其行为完全正常,不具备典型恶意特征。
真正的风险来自同目录下的 DLL 文件,尤其是:
gmodule-2.0.dll
MaxxAudioAPOShell64.dll
其中,gmodule-2.0.dll 内部包含如下关键字符串:
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WavesUpdate
APPDATA
%s\Microsoft\MMC\chgport.exe
vmtoolsd.exe
这些内容表明,该 DLL 具备通过 注册表 Run 键 建立持久化的能力,并试图将 %APPDATA%\Microsoft\MMC\chgport.exe 作为自启动目标,样本已明确显示出持久化能力。
四. 载荷注入
在 MaxxAudioAPOShell64.dll 中,提取到了多个高度关键的字符串,包括:
Looking for payload file: vva.bin
Using decryption key:
rundll32.exe
NtWriteVirtualMemory
Process created and payload injected successfully
该 DLL 的主要职责是寻找 vva.bin,对其进行解密,并将解密后的载荷注入 rundll32.exe 运行。
对 vva.bin 进行静态分析后发现,该文件是经过简单异或处理的 64 位 PE 文件。文件开头字节在使用 0x14 进行异或还原后,能够恢复出标准 MZ 文件头。
进一步的 PE 结构解析显示,该文件具备完整的 PE 头和节区结构,属于可正常执行的二阶段程序。其解码后的二阶段载荷 SHA256 为:
c7350bbaa51e4154223720f5c13baf035cf68991c5a6bdf2e5527845312c426e
在解密后的二阶段载荷中,可见多条明文 HTTP 请求相关字符串,例如:
POST HTTP/1.1
Host: 15.tlu.dl.delivery.mp.microsoft.com
Host: 2.tlu.dl.mp.microsoft.com
Host: mp.microsoft.com
结合载荷中的其他上下文信息——如 connect error、get host name error、Accept: / 等信息判断,这些字符串更像是程序手动拼接的 HTTP 请求头,用于在网络层将恶意通信伪装为微软相关流量。
样本的真正控制地址隐藏在一段反向存储的配置串中。对配置串逐段反转后,可恢复出以下关键参数:
p1: 23[.]226[.]57[.]45
o1: 5050
本次样本的真实 C2 为:23[.]226[.]57[.]45[:]5050
vva.bin使用 0x14 进行异或还原后的可见配置
除真实回连配置外,样本中还可见多个与公开 ValleyRAT / Winos4 报告高度一致的配置和标识字符串,包括:
IpDates_info
IpDate
denglupeizhi
登录模块.dll_bin
d33f351a4aeea5e608853d1a56661059
这些配置项及命名方式具有明显的家族指纹特征。公开资料显示,ValleyRAT 相关模块通常会对配置进行简单反转处理,并使用类似 登录模块.dll_bin 的命名方式请求后续模块。同时,在分析通过假火绒站点投递 ValleyRAT 的样本时,也发现了如 HKCU\SOFTWARE\IpDates_info 等特定配置痕迹。
结合本地样本特征,包括:
Waves 白文件的侧载
rundll32.exe 内存注入
反转存储的配置串
伪装微软流量的网络通信
可判断该样本与 Winos4 / ValleyRAT 高度一致,并与 Silver Fox 既有活动存在显著关联。
值得注意的是,这类木马会尝试利用你在电脑上保留登录的社交账号(如 Telegram / QQ / 微信等即时通讯工具)进行二次传播。一旦被感染,攻击者可能远程控制你的电脑,使用你的账号扩散恶意软件。同时,要警惕公开群组下载的文件和突然熟人账户发送的文件,近期还有接入AI 操作和对话的变种出现,攻击者可能通过与 AI 对话欺骗你下载或运行恶意文件,实现自动化感染和隐蔽传播。