团伙背景
在 2024 年 12 月,奇安信威胁情报中心红雨滴团队起底了黑产组织 UTG-Q-1000,分别披露了 4 个不同的“小组”,分别为财务组、新闻桃色组、设计制造组还有黑吃黑水坑组。其中“财务组”具有清晰的分工和明确的目标,该小组专门以企事业单位的财务人员和管理人员为核心攻击目标,旨在窃取敏感财务信息或通过诈骗手段直接获利。其攻击手法极具欺骗性,擅长制作高度仿真的钓鱼内容,常伪装成“税务稽查”、“电子票据”、“补贴公告”、“企业名册”、“人事调动”等与财务工作密切相关的主题,诱骗受害者下载并运行木马。该小组技术迭代迅速,使用多阶段加载的“银狐”等远控木马,并频繁使用阿里云 OSS、有道云笔记等合法云服务来托管恶意载荷以规避侦查。其基础设施(如 C2 服务器)偏好注册随机字符的短域名。具有强烈的免杀与对抗意识,为绕过安全软件检测,该小组不断进化,后期开始滥用 WorkWin、IP-Guard 等合法商业监控软件的功能,甚至利用其他软件的逻辑缺陷来实现“白利用”攻击,显示出高超的隐蔽技巧。
事件概述
近期,国家育儿补贴政策即将全面落地,每孩每年 3600 元的福利措施成为社会热议焦点。正当万千家庭期盼这项惠民政策时,奇安信威胁情报中心却发现黑产团伙已闻风而动。UTG-Q-1000 专业犯罪组织连夜架设大量钓鱼网站,群发钓鱼网站二维码,伪造补贴申领页面、制作虚假政策解读文档等手段,窃取受害者身份信息、银行卡信息、银行卡密码等。经过溯源追踪,在反制 C2 服务器后,我们发现了该团伙在桌面放置的各种微信群钓鱼话术、多种远控软件后台、以及微信聊天记录提取及筛选工具等。
钓鱼页面
“财务组”在通过水坑、钓鱼等各种手法控制受害者电脑后,控制其社交软件向各种群组发送钓鱼页面二维码,企图窃取群组内群成员的银行卡账号和密码,洗劫受害者银行卡内资金达到获利的目的,并且在群组内成功发送钓鱼二维码和话术后,还会在远控软件后台进行备注。
其精心筛选后的受害者多达 37 位,其中主要以 win10 用户为主。
攻击者为了避开受害者看到电脑操控界面,通常选择在晚上8点以后进行操控,对于被控电脑是企业工作电脑的受害者,利用企业办公通讯软件的创建日程、定时发送消息等功能,选择上班时间自动发送钓鱼二维码及相关话术。
攻击者控制受害者电脑创建日程传播钓鱼二维码。
其钓鱼页面二维码如下:
该二维码指向:http://whlq89621549.com/?member=ylxuqxmz,另一张二维码指向:http://snto-cn.com?member=ylxuqxmz 。
两个钓鱼网站页面呈现完全一致的内容。经深入分析,该页面实质上是一个加载器(Loader),其核心机制是通过动态创建 iframe 以加载真实的钓鱼页面。在加载 iframe 之前,攻击者首先发起一个 fetch 请求,调用一个看似为图片资源的接口,该接口实际经过精心伪装,用于传递恶意数据。真正的钓鱼 URL 经过 Base64 编码及异或操作加密,隐藏在返回图片数据的尾部。
服务器返回图片数据后,攻击代码通过固定特征标识 0x21FE 定位加密数据段的位置,进而执行解密过程,成功还原出目标 URL,并将其设置为 iframe 的 src 属性。攻击者采取如此复杂的多层规避策略,旨在绕过基于 URL 的风控检测机制及静态特征扫描检测。
该黑产团伙分工明确,其采用会员制统计钓鱼页面的成功率,跳转的 URL 链接携带 member 参数,其后紧跟的是会员 ID“ylxuqxmz”,团伙分工中该会员 ID 就能明确谁投放的钓鱼二维码。其钓鱼页面的跳转关系如下:
在钓鱼页面点击“立即申请”,其首先调用“loader”容器,展示“请稍等”,然后解析 URL 中的 member 参数,构造请求 URL 链接:http://snto-cn.com/api.php?member=ylxuqxmz ,该 URL 链接存储了一张伪造的 GIF 图片,通过寻找标识符 0x21FE 获取后面内容进行 base64 解码以及异或解密,异或的密钥为 “YourSecretKey123!@#”。
下图为从 api.gif 数据中解密后的 URL。
随后,通过 JS 代码动态创建并插入 Iframe 节点,并为其附加预定义的 CSS 样式类,以确保其视觉呈现与页面原有结构无缝融合。接着,将经过解密处理的目标 URL 赋值给 src 属性,以触发对目标页面的加载。
目标页面 1.html (补贴申报系统)首先会打印取到的会员名,如果存在 member,就向接口 https://bmppc.cn/add_visit.php 发请求,带上该参数,后端返回一段 JSON 数据,包含这个会员的访问统计(今日、昨日、累计)。
截止撰写该文时,会员“ylxuqxmz”的钓鱼数量为 113。
其中,该页面还会校验中文名以及身份证号的正确性,防止受害者不信任填写不正确的信息进入下一环节。
填写信息后跳转到 2.html (收集银行卡号和手机号信息页面),同样有信息验证的环节。
填写完相关信息后,通过 POST 请求提交到服务器https://bmppc.cn/submit.php 。然后服务器返回一个 ID,通过拼接这个 ID 跳转到 4.html(输入密码页面)。
其中服务器返回的 ID 实际是最后一条数据的插入 ID,这个 ID 为自增 ID,在实际分析过程中,短短数小时便增加了数百数值,因此该 ID 实际可能是所有会员钓鱼成功的数量。
新页面诱导受害者填写银行卡密码,使用自定义“数字键盘”输入,禁止系统键盘直接输入。
同时将当前上线或离线的状态上报并且有心跳机制,上报状态的地址是 https://bmppc.cn/update_status.php ,每秒检查心跳的地址是 https://bmppc.cn/heartbeat.php 。
若用户输入了 6 位密码,则拼接信息提交到 https://bmppc.cn/get-ayment.php ,然后跳转到 3.html 页面(账号信息确认页面)。
当 DOMContentLoaded 事件触发时,收集页面信息并发到服务器 https://bmppc.cn/save_title.php 。
若受害者长时间没有输入,最终页面会轮询用户状态并按状态码跳转,每 3 秒请求一次 https://bmppc.cn/status_check.php,如果返回 status_code 在 1–15 之间,就跳转到 {statusCode}.html。
这里测试是跳转到 5.html (验证码获取页面),该页面模仿了常见页面的倒计时。
其中信息收集的服务器地址变为了 https://bmppc.cn/get-certificate.php 。
若未输入手机验证码,此时轮询用户状态并按状态码跳转到11.html (更换手机页面)。
点击“更换手机”跳转到 7.html (更换号码页面)。
点击“立即申请补贴”则又会跳转到 4.html (输入密码页面),以此完成一个循环。
若受害者在 4.html (输入密码页面)输入了密码,则会跳转到3.html (账户信息确认页面)。
填写账户余额后通过 POST 提交信息到http://houtai4jian.fjhpdjt.cn/get-code.php 。
点击“确认提交”后跳转到 6.html (综合服务受理页面)。该页面伪装系统处理中,让受害者等待 5-10 分钟,实际在这期间该组织通过窃取到的信息在后面盗刷。
若盗刷时需要手机验证码二次验证,则跳转到 10.html (验证码获取页面),该页面与 5.html (验证码获取页面)完全一致,诱导受害者输入手机验证码完成盗刷。
攻击者根据盗刷失败的原因,通过轮询用户状态并响应指定状态码跳转到指定页面,如跳转到 9.html (银行卡密码错误页面),该页面与 4.html (输入密码页面)源代码一致,诱导受害者输入正确的银行卡密码。
或者跳转到 12.html (更换卡号页面),该组织还在页面显著提示银行卡余额需大于 3000 元。
另外在 13.html (发送短信页面),由服务器https://bmppc.cn/db.php 响应短信内容,诱导用户复制短信内容发送到指定号码,此举可能是为了解封账户,或者窃取用户的验证码。
服务器响应短信内容的源代码。
点击“发送短信”会将短信内容发送到服务器https://bmppc.cn/record_sms_sent.php ,然后跳转到 6.html (综合服务受理页面)迷惑受害者,攻击者则乘机在后面盗刷。
而 14.html (再次发送短信页面)则会提示受害者短信内容发送有误,需要重新发送。
15.html (更换卡号页面)则是攻击者设置的又一个陷阱,诱导受害者更换卡号。点击“更换卡号”则又会跳转到 2.html (收集银行卡号和手机号信息页面),开启新一轮的诈骗循环。
双控木马
另外我们还在桌面发现一个恶意的 exe 文件,经分析为攻击者给受害者下发的另一个商业的控制软件,恶意软件的基本信息如下。
| - | - |
|---|---|
| MD5 | 7759E77E6A523FDA149792C9346B9EEF |
| 文件名 | 128zq.exe |
| 文件大小 | 8.07 MB (8462848字节) |
| 创建时间 | 2025-08-19 17:06:16 |
该样本由 go 语言编写,实际为一个下载器,下载地址为https://gootk-1328636939.cos.ap-guangzhou.myqcloud.com/windowsSetup128.msi。下载保存到 C:\\windows Setup128.msi ,并使用 msiexec 执行。
而 windows Setup128.msi 使用自定义操作,执行释放的 client 文件。
Client 为自解压程序,文件具有 “Shandong Anzai Information Technology CO.,Ltd.” 的合法数字签名,经查该软件实际为商业软件。
其中释放的 servercfg 文件为配置的 C2 的地址。
远控后台
持续深挖线索,我们发现了多个基于 winos4.0(恶意软件,非windows 源码)二开的远程控制软件服务端,例如修改源码为 IOCP 通讯的服务端。
其客户端生成面板如下。
携带的 64 位插件如下:
携带的 32 位插件如下:
另一个二开的服务端,作者增加了皮肤设置。
基于 Gh0st 源码修改的服务端以及生成上线文件的控制面板。
另一个恶意软件服务端,暂未发现客户端生成方式。
给指定文件添加伪造签名的 python 脚本。
以及恶意软件包(小天才),该包针对微信的聊天记录进行批量处理,挖掘出有价值的目标信息,以便于后阶段进行诈骗或者实现其他目的。根据软件的相关注册信息,该恶意软件也是从其他地方购买的,使用期限只有一年。
此外还发现了多个用于白加黑的白程序。
总结
UTG-Q-1000 团伙是近年来国内最为活跃、攻击频率最高的黑产组织之一。其业务范围广泛,已形成窃密、远控、金融诈骗等完整的非法获利链条。在巨额利益的驱使下,该组织动力十足,表现出极高的技术对抗性和更新迭代速度。
其攻击活动具有几个显著特点:
极强的免杀与对抗能力:其制作的攻击样本__免杀性高、更新频繁__,通常采用多阶段加载、云服务分发 Payload、加密混淆等手段绕过安全检测。有的攻击样本甚至__会直接与杀毒软件做主动对抗__,尝试结束安全软件进程。
高超的社会工程学技巧:其制作的钓鱼页面__伪装度极高__,内容层层递进,紧密结合时下热点或目标职业需求(如税务、补贴、人事通知),逐步获取受害者的信任,诱导其放松警惕并执行恶意程序。
组织化与模块化运作:该组织内部可能根据攻击目标不同(如财务人员、设计师、普通网民)划分为多个专业小组(如“财务组”、“设计制造组”),即使用同一木马家族(银狐),也在战术上各有侧重,呈现出高度的组织化和模块化特征。
综上所述,UTG-Q-1000 是一个技术先进、结构复杂、危害极大的大型犯罪网络,是企业机构,尤其是财务和敏感岗位人员需要重点防范的网络威胁。
防护建议
奇安信威胁情报中心提醒广大用户,谨防钓鱼攻击,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行标题夸张的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5
7759E77E6A523FDA149792C9346B9EEF
4267E6D9EE6C409B2CB5D3A1B0B0A270
钓鱼网站
http://whlq89621549.com
http://snto-cn.com
https://jnscx.com
C&C
https://bmppc.cn
43.132.222.128