警惕，疑似“谷堕大盗”家族活动频繁

wwwab

一、背景
近期，在日常样本捕猎过程当中发现多个白加黑远控样本疑似具有共同的特征，经过进一步溯源比较，确定为疑似“谷堕大盗”相关家族远控样本。

二、基本情况
2023年3月22日晚，在日常样本捕猎过程当中，发现一个名为“兴业开户截图.exe”(抽取样本：736083c6d89c505b02add25ce24deef5)的样本，主要行为为释放以下文件：
C:\ProgramData\nima\msvcp100.dll
C:\ProgramData\nima\vbn.exe(恶意相关)
C:\ProgramData\nima\vcruntime140.dll
C:\ProgramData\nima\libwim-15.dll(恶意)
C:\ProgramData\nima\msvcr100.dll
C:\ProgramData\nima\adta.exe
经过网络流量分析发现该样本会尝试连接222.186.20.46:8082与154.197.14.38:8081
威胁情报平台将该两个IP标记为“谷堕大盗”恶意，如下图所示：

经过检索，“谷堕大盗”该名称由“奇安信病毒响应中心”于2023年2月分析该家族样本发表于“安全内参”网站时起名，原报告URL为https://www.secrss.com/articles/52018

三、IP通信样本与同源性分析

a.

进一步通过威胁情报平台，查询到大量相关IP通信样本

（一）
在222.186.20.46 IP下确认查询到名称为“nima” “xxx闪退视频” "开户截图及视频”等样本，如下图所示：

翻到最后一页我们发现某个于2023年3月1日被收录的样本(抽取样本：9240d8543d9df2a5118dbcd0b27fa1b6)确实存在pdb路径“C:\Users\谷堕\Desktop\2022远程管理gfi\cangku\WinOsClientProject\Release-exe\上线模块.pdb”并且与该IP进行了通信往来，而后续样本则普遍采用易语言编写，如下图所示：

我们发现在该IP下样本从2023年3月9日开始呈喷井式上涨，如下图所示：

继续查找其他样本，发现在2023年3月13日被收录的名为“自选投资”(抽取样本：65b414c959ddfa67394789018054159b) “开户截图及视频”(抽取样本：a05318a6e420dafc460c8ce5e8f6d54a)等样本释放的文件有所不同，主要行为为释放以下文件：
C:\ProgramData\tima\libcef.dll(恶意)
C:\ProgramData\tima\epw.exe
C:\ProgramData\tima\PcAssit.exe

（二）
在154.197.14.38 IP下同样发现了“libcef.dll”等样本
在该IP下查询到收录于2023年3月3日的通信样本(抽取样本：69051f51317762fda01e53f6d8963ea5)，释放的文件为：
C:\Users\Public\nima\vcruntime140.dll
C:\Users\Public\nima\vc.exe
C:\Users\Public\nima\libcurl.dll(恶意)
C:\Users\Public\nima\ata.exe
在该IP下查询到收录于2023年3月7日的通信样本(抽取样本：74c563e0f84a4ca38ea596a4c9f250c6)，释放的文件为：
C:\ProgramData\nima\adta.exe
C:\ProgramData\nima\vbn.exe(恶意相关)
C:\ProgramData\nima\libcef.dll(恶意)
在该IP下查询到收录于2023年3月9日与2023年3月20日的通信样本(抽取样本：736083c6d89c505b02add25ce24deef5 2354644709430c838d01f1ffa6e9bf56)，释放的文件为：
C:\ProgramData\nima\vbn.exe(恶意相关)
C:\ProgramData\nima\adta.exe
C:\ProgramData\nima\libwim-15.dll
C:\ProgramData\nima\msvcr100.dll
C:\ProgramData\nima\msvcp100.dll
C:\ProgramData\nima\vcruntime140.dll
可以看出该病毒在不断更新

b.

其实早在2023年3月17日，就已经发现了使用tima\libcef.dll+epw.exe+PcAssit.exe白加黑结构的相关样本了，如下图所示：

那天捕获到的样本收录于2023年3月16日名为“备考课程（1）（2）（3）2023年3月”(抽取样本：fd876956e6a53aead8a6d86bcc455755)，而通信IP则是111.67.202.111与45.200.14.41

在111.67.202.111 IP下仍能查询到名2023年3月4日为“nima”的相关样本(抽取样本：d49d295a618522609ef33734330cea33)
且该白加黑结构又有所不同，如下：
C:\ProgramData\nima\cc_sub.exe
C:\ProgramData\nima\python37.dll(恶意)
C:\ProgramData\nima\zc.exe(恶意相关)

而在2023年3月18日与2023年3月20日被收录的样本(抽取样本：3fcf7423fcc10bb362f9a1d3fe765a58 af6248723894b845c3ffba07aa8b80c5)释放的文件就又有所不同，主要行为为释放以下文件：
C:\ProgramData\tima\epw.exe
C:\ProgramData\tima\GameBuff.exe
C:\ProgramData\tima\libglib-2.0-0.dll(恶意)

部分版本的样本释放的zc.exe vbn.exe等套用了钉钉的签名（未经验证的无效签名）且启动隐藏命令行界面

三、
该家族与该批次样本曾多次针对金融、证券业攻击（尤其是在部分通信IP下的样本普遍具有），例如“开户截图及视频”样本中文件属性为“益盟操盘手-浏览器模块”（抽取样本：a05318a6e420dafc460c8ce5e8f6d54a），还有样本属性为“九方智投擒龙版”（抽取样本：65b414c959ddfa67394789018054159b）等，但是也有样本是“LoginCenterWindow”或者“MyColor”等。怀疑病毒制作者进行过开源或者出售，或者是使用多个不同的服务器针对不同的人群行业开展不同的定向攻击。


四、由于样本数量过多，不单独提供IOC，可以查询IP地址威胁情报来获取。

huangzihang

又是脚本小子

你开心就好

hello 看看这个   https://mp.weixin.qq.com/s/DSA58emW0ZtGoyoEgufBJw