關鍵詞

網絡攻擊

2025 年開年以來，微步在線發現并協助處置多起針對央企、醫療機構等的大規模釣魚詐騙事件。經深入研判，攻擊溯源指向黑產團伙操控的“銀狐”木馬新變種。此次攻擊范圍廣、隱蔽性強、反復性高，受害員工累計已超數千人，堪稱年內最大規模的黑產攻擊之一。

攻擊特征

此次攻擊有以下顯著特征：

• 以企業 IM 渠道為主的釣魚傳播：攻擊者利用微信、企業微信等社交平臺建群，群發帶有惡意文件或二維碼的釣魚信息，偽裝成內部溝通內容，誘導受害者上當。

• 誘餌內容貼合熱點、極具迷惑性：常見釣魚主題包括稅務抽查、DeepSeek 下載、成人網站驗證、電子郵件登錄等，采用 PDF、HTML、仿冒網頁等形式，具有很強的偽裝性。

• 攻擊資源充足、持續活躍：釣魚網站模板繁多、更新頻繁，結合 SEO 排名優化技術提升搜索引擎曝光，極易誘導用戶點擊下載帶毒文件。

• 感染反復、難以清理：銀狐變種具備強免殺能力，能在系統中深度駐留，一些單位即便清除一次，也會因失陷資產被轉賣而反復遭到攻擊。

攻擊特點

攻擊資源豐富，惡意樣本變種快，C2更新頻次高，影響廣泛，免殺和駐留能力極強。

平臺

Windows

傳播方式

部署虛假軟件下載頁面，并提高釣魚網站在搜索引擎排行誘導下載；

以pdf，html文件偽裝為稅務局稽查局向轄區企業進行稅務抽查，投遞虛假公告，誘導受害者下載木馬。

攻擊地區

中國

攻擊人群

企業普通員工、財稅相關人員

攻擊目的

遠控、造成實際經濟損失

影響與案例

多個受害單位的內部電腦被控制后，攻擊者進一步利用中毒主機繼續在企業內傳播，包括：

• 被控終端通過微信/企微拉群發送釣魚鏈接；

• 內部數據在暗網售賣，導致持續暴露；

• 部分受控終端被用作“跳板機”，參與更大范圍的攻擊活動。

類型

數量

圖例

Google翻譯

55

電子郵箱

6

貨幣轉換器計算器 | 實時匯率

7

MissAV | 免費高清AV在線看

1

技術細節

銀狐木馬的技術棧持續進化，具備如下能力：

• 白加黑注入：加載正常程序的同時注入惡意 DLL 并執行核心木馬邏輯；

• 多鏈式注入：構建“斷鏈白鏈”機制，形成復雜進程關系鏈，隱藏主控邏輯；

• 計劃任務與 RPC 建立持久化：通過遠程調用方式創建服務或任務，增強生存性；

• 遠控組件多樣化：使用魔改 gh0st、IPGuard、固信等遠控模塊實施操作；

• 自保護能力顯著增強：引入多個內核驅動程序，防止進程被結束、文件被刪除、持久化項被清理。

整改建議

為應對此類持續性攻擊，建議企業安全團隊立刻行動：

1. 成立專項應急小組，持續監控并追蹤攻擊源；

2. 部署 EDR、DNS 安全、郵件防護等多種安全技術，提升威脅可視化與響應效率；

3. 定期開展員工安全意識培訓，特別是財務、人事等高敏崗位；

4. 檢查是否訪問以下 IOC 域名/IP，并封禁相關資源。

部分 IOC 示例：

makefile
43.199.111.150:443
47.128.179.227:443
206.238.196.210:443
119.28.228.14:80
fafdafaf.shop

來源：微步在線

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！