{
	"id": "3b8605a9-c3c5-43de-aee0-0451f0887f4b",
	"created_at": "2026-04-06T01:30:20.21888Z",
	"updated_at": "2026-04-10T03:38:03.296975Z",
	"deleted_at": null,
	"sha1_hash": "0817067a5a3f5c104dbb3e44e8f5eaf804ca2db9",
	"title": "“灵猫”组织针对中东地区的攻击活动分析报告",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 4734330,
	"plain_text": "“灵猫”组织针对中东地区的攻击活动分析报告\r\nBy 安天\r\nArchived: 2026-04-06 00:07:43 UTC\r\n“灵猫”组织针对中东地区的攻击活动分析报告\r\n时间 ：  2020年12月28日  来源：  安天CERT\r\n1.概述\r\n        “灵猫”组织（又名Moonlight、Molerats、Gaza Hackers Team、Gaza Cybergang）是一个来自加沙地区\r\n的APT攻击组织，其最早的攻击活动时间可追溯至2012年。国外安全厂商ClearSky曾在2016年所发\r\n的“Operation DustySky”报告[1]中指出该组织的背后为哈马斯（伊斯兰抵抗运动组织的简称）。\r\n        安天CERT从2020年10月份开始陆续捕获到“灵猫”组织针对中东地区进行攻击的样本，在本次攻击活\r\n动中“灵猫”组织使用的工具更为丰富，不仅包括在既往活动中使用的通过ENIGMA打包的Spark恶意软\r\n件，还有在此前未发现被使用的.NET框架的MoleStage 恶意软件，以及自研的Python后门恶意软件\r\nMoleCloud。其中MoleCloud网络通讯全程利用正常网站的信息发布和存储服务进行指令交互、窃密数据\r\n上传和下载文件执行，通过利用合法的Web服务，MoleCloud在抵达端点后可以在流量侧隐匿自身的攻击\r\n活动，若未被端点侧安全产品发现，则MoleCloud将能长期潜伏于目标端点中。\r\n2.攻击活动分析\r\n        “灵猫”组织近期攻击活动的主要手法为向目标人群投递含有恶意代码的下载链接PDF文件，下载链接\r\n指向Dropbox或Google Drive的网盘空间的存储地址。攻击者通过PDF文件的正文内容，诱导用户下载其他\r\n压缩包，以及执行压缩包中的可执行文件。对于压缩包中的可执行文件，攻击者在文件名上使用了一定\r\n社工欺骗技巧。其中压缩包所包含的恶意软件主要为通过ENIGMA打包的Spark恶意软件、MoleStage恶意\r\n软件以及自研的Python后门恶意软件MoleCloud。相关攻击流程如图2-1所示：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 1 of 34\n\n图 2-1“灵猫”组织相关攻击流程图\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 2 of 34\n\n图 2-2 MBS-Israel.pdf正文内容\r\n图 2-3 MOM压缩包内文件\r\n     在本次攻击活动中，“灵猫”组织投递的诱饵PDF文件及恶意软件主题与哈马斯内部选举、今年11月份\r\n沙特阿拉伯王储穆罕默德·本·萨勒曼（Mohammed bin Salman）与以色列总理本雅明·内塔尼亚胡\r\n（Benjamin Netanyahu）的会谈以及与美国国务卿迈克·蓬佩奥（Mike Pompeo）在沙特阿拉伯的会谈内容\r\n有关[2]。\r\n表 2-1 文件名的社工技巧\r\n文件名 含义\r\nExclusive details of Hamas' Internal Elections 2021.exe 哈马斯内部选举细节\r\nDetails crown prince held 'secret meeting' with Israeli\r\nPM.Nov.23.20.MoM.exe\r\n沙特阿拉伯王储与以色列总理\r\n会谈内容\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 3 of 34\n\nDetails of MBS meeting with the US Secretary of\r\nState.Nov.23.20.MoM.exe\r\n沙特阿拉伯王储与美国国务卿\r\n会谈内容\r\nTalking points for meeting.exe 会谈细节\r\n3.恶意代码分析\r\n3.1 MoleStage\r\n        在本次的攻击活动中，“灵猫”组织使用的.NET框架后门恶意软件均以“Stage_One”作为命名空间名\r\n称，根据这一特征，安天CERT将该恶意软件命名为“MoleStage”。\r\n表 3-1 MoleStage Backdoor\r\nMD5 时间戳\r\n5F70D52D2BE4D0389EEB1C7E27D5E9BD 2020-11-18 08:51:19+00:00\r\nA559547C0815D1A4C025D6DE25108A70 2020-10-11 10:27:34+00:00\r\nB0779C7794A52CE0F1AAE33539DE6F01 2020-10-08 08:11:31+00:00\r\n5FA06E949FBF66F7E93B1E5F6268C0E5 2020-10-04 08:53:49+00:00\r\n79C25E297870CE68907F2C25564A161F 2020-10-04 08:53:49+00:00\r\n1B1EC8AE327A5543423978E7E58FC44C 2020-10-04 08:53:49+00:00\r\n3893C6D9AC3BA63C051394FA7F58F24F 2020-09-12 07:31:17+00:00\r\n        安天先后捕获到多个不同版本的MoleStage，其早期的MoleStage是通过一个伪装成Office文件的\r\nDropper释放，而后续版本则直接被攻击者伪装成Office文件。截至目前，安天CERT发现最早样本的编译\r\n时间为2020-09-12 07:31:17+00: 00，而最近的为2020-11-18 08:51:19+00:00。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 4 of 34\n\n表 3-2 MoleStage样本标签\r\n病毒名称 Trojan[Spy]/MSIL.Bobik\r\n原始文件名 OpenOfficeOnline.exe\r\nMD5 B0779C7794A52CE0F1AAE33539DE6F01\r\n处理器架构 Intel 386 or later, and compatibles\r\n文件大小 5.12 MB (5365760 bytes)\r\n文件格式 BinExecute/Microsoft.EXE[:X86]\r\n时间戳 2020-10-08 08:11:31+00:00\r\n数字签名 无\r\n加壳类型 无\r\n编译语言 Microsoft Visual C# / Basic .NET\r\nVT首次上传时间 2020-12-01 15:14:24\r\nVT检测结果 14/67\r\n        MoleStage后门木马的主要功能包括：屏幕截图、下载文件、运行文件、解压文件、上传文件、获取\r\n指定路径的文件信息、执行远程Shell、对自身进行持久化等功能。相关功能对应的代码片段如下：\r\n        1. 屏幕截图：该后门木马会对宿主机进行截屏操作，同时将截屏文件保存至宿主机%temp%目录下。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 5 of 34\n\n图 3-1 截屏且将截屏文件保存至%temp%目录下\r\n图 3-2 截屏且保存至指定路径\r\n        2. 判断受害者是否符合目标人群：该后门木马主要通过判断宿主机的键盘布局是否为阿拉伯键盘来\r\n确认当前受害者是否属于目标人群，如果是，则将变量“startloop”设为“true”，反之将其设为“false”。\r\n图 3-3 判断宿主机的语言环境是否为阿拉伯语\r\n        3. 检验主URL连通性：该后门木马通过“Startupdate”函数的循环调用来接收、执行C2服务器命令，当\r\n该后门木马首次进行循环时，会通过创建IE实例以及WebBrowser控件来访问URL进行检验主URL存活。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 6 of 34\n\n图 3-4 Startupdate函数\r\n图 3-5 变量UrlCheck\r\n图 3-6 通过IE实例访问URL\r\n图 3-7 通过WebBrowser控件访问URL\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 7 of 34\n\n4. 收集宿主机信息并回传：当该后门木马确认受害者属于目标人群，则开始向C2服务器发送宿主机\r\n的机器名、用户名等信息。同时该后门木马会存有一条备用的URL，当不能通过主URL跟C2服务器进行\r\n通信时，该后门木马就会尝试通过备用URL跟C2服务器进行通信。如果备用URL可以正常使用，则在后\r\n续的通信中该后门木马会一直使用备用URL。\r\n图 3-8 初始化Http Client\r\n图 3-9向C2服务器发送宿主机信息\r\n        5. 获取Dropbox API密钥以及自身持久化：C2服务器的命令为“Startup”时，则接收Dropbox API密钥，\r\n同时将自身拷贝至自启动目录且命名为“Desktops.exe”进行自身持久化；C2服务器的命令\r\n为“access_token”时，则只接收Dropbox API密钥；若C2服务器无任何命令，说明C2服务器未响应宿主机的\r\n请求，则只能随机休眠50-60s后进入循环直至获取到C2服务器响应消息。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 8 of 34\n\n图 3-10获取Dropbox API密钥\r\n图 3-11将自身拷贝至自启动目录且命名为“Desktops.exe”\r\n        6. 设置工具路径及下载指定工具：该后门木马会获取压缩包、命令行程序所在路径，以便后续利用\r\n这些工具。若工具不存在，则连接Dropbox网盘下载相关工具，且下载完成后会通知服务器下载结果。\r\n图 3-12 设置Rar、Cmd、Powershell以及WMIC的路径\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 9 of 34\n\n图 3-13 下载指定文件至指定路径，且下载成功后向C2服务器发送消息\r\n        7. 执行远程Shell：该后门木马会执行C2服务器下发的Shell命令，执行成功后会将执行的结果返回至\r\nC2服务器。\r\n图 3-14 选择命令行工具执行命令\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 10 of 34\n\n图 3-15 执行远程shell\r\n图 3-16 将执行结果发送至C2服务器\r\n        8. 下载文件至指定路径：该后门木马可通过C2服务器发送的下载地址和Dropbox网盘下载文件，下载\r\n完成会向C2服务器返回下载结果。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 11 of 34\n\n图 3-17 下载指定文件\r\n        9. 解压下载的文件：通过C2服务器发送的密码对下载的文件进行解压。\r\n图 3-18解压指定文件\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 12 of 34\n\n图 3-19解压文件\r\n        10. 运行文件：该后门木马会通过“RunFile”函数运行解压后的的文件。\r\n图 3-20 运行“strpath”列表中的文件\r\n图 3-21 运行指定路径的文件\r\n        11. 获取指定路径的文件列表：当该后门木马成功获取到指定路径的文件夹列表后，其会将获取到的\r\n信息返回至C2服务器。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 13 of 34\n\n图 3-22 获取指定路径的文件列表\r\n图 3-23 将获取的文件列表发送至C2服务器\r\n        12. 上传指定路径的文件：该后门木马首先会在Dropbox网盘中创建文件夹，创建完成后，会开始将\r\n宿主机中攻击者指定路径的文件上传至Dropbox网盘新创建的文件夹中，上传完成后会向C2服务器发送成\r\n功消息。在上传文件时，如果文件的大小超过4MB，则通过“ChunkUpload”函数分块上传。\r\n图 3-24 在Dropbox网盘中创建指定文件夹\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 14 of 34\n\n图 3-25 获取指定路径文件并上传至Dropbox\r\n图 3-26 上传文件至Dropbox函数\r\n图 3-27 分块上传\r\n图 3-28 上传成功后向C2服务器发送消息\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 15 of 34\n\n3.2 MoleCloud\r\n        “MoleCloud”是使用Python语言编写且通过PyInstaller打包成EXE的后门程序，其与MoleStage恶意软件\r\n一样均利用Dropbox网盘上传窃取的文件以及下载后续攻击中所使用的工具、恶意软件。\r\n        MoleCloud主要功能均为常见后门功能，主要为：收集并上传宿主机信息、通过攻击者创建的\r\nFacebook、SimpleNote账号获取Dropbox密钥以及攻击者的命令、执行攻击者的命令以及通过Dropbox网盘\r\n下载文件。\r\n表 3-3 Talking points for meeting.exe\r\n病毒名称 Trojan[PSW]/Python.Stealer\r\n原始文件名 Talking points for meeting.exe\r\nMD5 3158E619788D56669175490817863FB1\r\n处理器架构 Intel 386 or later, and compatibles\r\n文件大小 12.08 MB (12671566 bytes)\r\n文件格式 BinExecute/Microsoft.EXE[:X86]\r\n时间戳 2020-08-08 12:30:37+00:00\r\n数字签名 无\r\n加壳类型 无\r\n编译语言 Python\r\nVT首次上传时间 2020-11-25 04:49:38\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 16 of 34\n\nVT检测结果 30/68\r\n        对MoleCloud后门木马具体的分析如下：\r\n        1. 检查宿主机是否安装有“WINRAR”软件以及是否符合攻击目标：\r\n        当该后门木马被受害者激活后，首先会检查压缩软件“WINRAR”是否存在宿主机，如果存在就继续\r\n运行，反之则直接退出程序。检查“WINRAR”软件存在的目的，可能是该后门木马在后续的操作中需要\r\n利用“WINRAR”对窃取的文件进行压缩，方便将窃取到的文件上传至Dropbox。其次，该后门木马会通过\r\n获取到的LCID Language ID判断受害者是否为本次攻击活动的目标人群，如果是则继续运行，反之则退出\r\n运行。\r\n图 3-29 初始化变量\r\n图 3-30 判断受害者是否为目标人群\r\n        通过对后门木马所设定的LCID Language ID进行分析，可以发现该后门木马本次攻击的目标为阿拉伯\r\n世界国家，例如：利比亚、沙特阿拉伯、卡塔尔、阿联酋、伊拉克、埃及以及叙利亚等国家。具体的\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 17 of 34\n\nLCID Language ID对应的语言和国家如表3-4所示：\r\n表 3-4 LCID Language ID对应的语言和国家\r\nLCID Language ID 语言-国家\r\n0x1 Arabic（阿拉伯语）\r\n0x1001 Arabic - Libya（阿拉伯语 – 利比亚）\r\n0x1401 Arabic - Algeria（阿拉伯语 – 阿尔及利亚）\r\n0x1801 Arabic - Morocco（阿拉伯语 – 摩洛哥）\r\n0x1C01 Arabic - Tunisia（阿拉伯语 – 突尼斯）\r\n0x2001 Arabic - Oman（阿拉伯语 – 阿曼）\r\n0x2401 Arabic - Yemen（阿拉伯语 – 也门）\r\n0x2801 Arabic - Syria（阿拉伯语 – 叙利亚）\r\n0x2C01 Arabic - Jordan（阿拉伯语 – 约旦）\r\n0x3001 Arabic - Lebanon（阿拉伯语 – 黎巴嫩）\r\n0x3401 Arabic - Kuwait（阿拉伯语 – 科威特）\r\n0x3801 Arabic - U.A.E. （阿拉伯语 – 阿拉伯联合酋长国）\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 18 of 34\n\n0x3C01 Arabic - Bahrain（阿拉伯语 – 巴林）\r\n0x4001 Arabic - Qatar（阿拉伯语 – 卡塔尔）\r\n0x401 Arabic - Saudi Arabia（阿拉伯语 – 沙特阿拉伯）\r\n0x801 Arabic - Iraq（阿拉伯语 – 伊拉克）\r\n0xC01 Arabic - Egypt（阿拉伯语 – 埃及）\r\n        2. 获取Dropbox API密钥：\r\n        当受害者为攻击目标，该后门木马便会通过Facebook以及SimpleNote服务获取攻击者的Dropbox API\r\n密钥，该Dropbox API密钥通过“#**#”字符标记，后门木马会通过find_between函数提取Dropbox API密\r\n钥。\r\n图 3-31 获取Dropbox API密钥\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 19 of 34\n\n图 3-32 find_between函数\r\n图 3-33 攻击者Facebook账号上所存储的Dropbox API密钥\r\n        3. 上传受害者信息：\r\n        当成功获取到Dropbox API密钥，该后门木马会将获取到的宿主机已安装软件以及桌面文件信息写\r\n入%USERPROFILE%\\info.txt文件，同时该后门木马会将info.txt上传至攻击者的Dropbox中并以宿主机的\r\n用户名为文件名来区分受害者。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 20 of 34\n\n图 3-34 将获取到的信息上传至攻击者的Dropbox\r\n        4. 通过Facebook、SimpleNote获取攻击者的命令：\r\n        该后门木马会通过访问Facebook以及SimpleNote服务来获取攻击者所发出的命令，攻击者发出的命令\r\n同样由“#**#”字符包裹。通过对攻击者创建用户名为“Yora Stev”的Facebook账号进行的一段时间观察，直\r\n至目前所能观测到攻击者发出的命令如表3-5所示。\r\n图 3-35 获取攻击者的命令\r\n图 3-36 执行攻击者命令\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 21 of 34\n\n图 3-37 攻击者发出的命令\r\n表 3-5 目前观测到的攻击者，命令与对应的功能\r\n命令 功能\r\nall::tasklist 执行tasklist命令，即查看宿主机的进程\r\nall::dir 执行dir命令，即查看路径中的文件。\r\nall::re::30 休眠30秒\r\nall::schtasks\r\n执行:schtasks命令，即创建、删除、查询、更改、运\r\n行和中止宿主机的计划任务\r\nall::set::soundplyer.exe\r\n将变量OnLineFileNmae赋值为soundplyer.exe，即下一\r\n个要下载的文件为soundplyer.exe，同时根据变量\r\nOnLineFileNmae中Name被攻击者拼写成Nmae可以看\r\n出攻击者其母语可能不是英语。\r\nall::set::Kd.exe\r\n将变量OnLineFileNmae赋值为Kd.exe，即下一个要下\r\n载的文件为Kd.exe\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 22 of 34\n\nall::set::PView.exe\r\n将变量OnLineFileNmae赋值为PView.exe，即下一个要\r\n下载的文件为PView.exe\r\nall::schtasks /create /sc minute /mo 1 /tn\r\n\"PView\" /F /tr\r\n\"\\\"%userprofile%\\PView.exe\\\"\"\r\n为PView.exe创建名为PView的计划任务\r\n        5. 下载攻击者指定的文件：\r\n        该后门木马会连接攻击者的Dropbox网盘下载、运行攻击者指定的文件。\r\n图 3-38 下载、运行攻击者指定的文件\r\n        在攻击者Dropbox网盘中储存的文件中，有一个文件名为“proshear”文件夹的加密压缩包。初步猜测压\r\n缩包中可能为其他恶意软件，其可能会被攻击者通过MoleCloud下发至受害者机器，同时下发命令对该压\r\n缩包进行解密并执行。攻击者Dropbox中所储存的恶意软件文件如表3-6所示：\r\n表 3-6 攻击者Dropbox中所储存的恶意软件文件\r\nMD5 文件名 家族\r\nAE3D8576594867CFD55BAC9FE12D6A54 Kd.exe Quasar RAT\r\n7E7EAA8AEBC4026BE3B56B965B0D8947 soundplyer.exe Process Explorer\r\n3158E619788D56669175490817863FB1 PView.exe MoleCloud\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 23 of 34\n\n48B9A42191DFF6371AEB3D7DCB3A8480 proshear.rar 疑似其他恶意软件\r\n        与此同时，该网盘中还储存着疑似来自被攻击者方的相关信息。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 24 of 34\n\n图 3-39 疑似被攻击方机器桌面文件与软件信息\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 25 of 34\n\n由于阿拉伯语是从右往左书写的，所以在利用翻译工具对阿拉伯语进行翻译时，翻译工具会自动将\r\n阿拉伯语排列成从右向左的阅读形式。\r\n图 3-40 疑似被攻击方机器桌面的文件列表的对比翻译结果\r\n4.威胁框架视角的攻击映射图谱\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 26 of 34\n\n在使用ATT\u0026CK框架对“灵猫”组织在本次攻击中所使用的技术进行总结时，安天采用的是最新版本的\r\nATT\u0026CK框架。在最新版本ATT\u0026CK框架中，战术阶段由原来的12个变成了14个，增加了侦察以及资源\r\n开发这两个新的战术阶段。\r\n        本次“灵猫”组织的攻击活动共涉及ATT\u0026CK威胁框架中的13个阶段、41个技术点（含确定和推测\r\n的），具体行为描述如下表：\r\n表 4-1“灵猫”组织本次攻击活动的技术行为描述表\r\nATT\u0026CK\r\n阶段\r\n具体行为\r\n侦察\r\n通过公开网站等渠道收集受害者组织信息，如部门结构，业务信息等；通过技术数据\r\n库，如DNS、Whois信息查询受害者相关信息；\r\n资源开发\r\n通过第三方Web服务下发命令、恶意软件以及储存窃取的信息，如利用Facebook、\r\nSimpleNote下发命令、利用Dropbox、Google Drive储存恶意软件以及窃取的信息。\r\n初始访问\r\n通过利用受信关系以及鱼叉式钓鱼附件进行初始访问，如利用与中东地区的诱饵PDF文\r\n件诱导受害者下载包含恶意软件的压缩包。\r\n执行\r\n通过伪装成word的恶意软件诱导用户执行；通过利用Powershell、CMD、WMIC等命令\r\n行工具执行命令；MoleStage以及MoleCloud会通过API执行下发的恶意软件。\r\n持久化\r\n通过利用启动项进行持久化，如MoleStage Dropper会在宿主机的注册表中\r\nSOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run注册项下创建键值来使MoleStage\r\n自启动、以及MoleStage恶意软件会将自身拷贝至自启动目录下进行持久化。\r\n提权\r\n通过利用启动项进行提权，如MoleStage恶意软件进行持久化后，当宿主机启动时，\r\nMoleStage便在用户的上下文中执行，这样MoleStage就具有当前用户相等的权限。\r\n防御规避\r\n通过隐藏窗口、删除主机中的信标、反解码文件、修改注册表以及混淆文件进行防御规\r\n避，如对下发的文件通过加密压缩来逃避流量检测、通过攻击者下发的密码对文件进行\r\n解密、MoleStage会在运行时隐藏自身的窗口防止被发现、MoleStage Dropper会修改注册\r\n表来支持MoleStage持久化、MoleStage会删除已经存在的截屏文件。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 27 of 34\n\n凭证访问\r\n推测MoleStage以及MoleCloud恶意软件会在后续的攻击中会窃取Chrome、Firefox以及\r\nEdge等Web浏览器的Cookie、密码存储软件中的凭证、操作系统凭证来进行凭证访问。\r\n发现\r\n在攻击时MoleStage以及MoleCloud会通过Shell命令发现宿主机的用户名、机器名以及文\r\n件目录信息等；同时推测攻击者在后续攻击中会扫描网络服务以及发现浏览器书签、、\r\n权限组、软件、系统网络配置、系统网络连接、系统所有者、系统服务、系统事件。\r\n收集\r\n收集本地系统数据、输入捕捉、获取屏幕截图以及数据暂存，如MoleStage恶意软件会\r\n收集屏幕截图、以及本地驱动器中目录文件信息，同时会将文件存放在%Temp%目录下\r\n等待上传；推测攻击者在后续攻击中会收集宿主机的音频以及视频信息。\r\n命令与控\r\n制\r\n通过使用备用信道、利用Web服务进行命令与控制，如利用公共Web服务Facebook、\r\nSimpleNote下发命令；当主URL失效时，MoleStage恶意软件会利用备用的URL与C2服务\r\n器进行通信。\r\n数据渗出\r\n通过限制传输数据大小进行数据渗透，如当上传的文件大小超过4MB时，MoleStage会\r\n将文件分块上传;；通过C2信道回传进行数据渗透，如MoleStage会将宿主机的信息返回\r\n至C2服务器。\r\n影响 推测在后续的攻击中，攻击者会操作本地储存数据对受害者产生影响。\r\n        将“灵猫”组织涉及到的威胁行为技术点映射到ATT\u0026CK威胁框架如下图所示：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 28 of 34\n\n图 4 -1“灵猫”组织本次行动威胁行为技术点映射到ATT＆CK威胁框架\r\n5.小结\r\n        “灵猫”组织相关波次的攻击活动很容易被看成是一种“鸟枪当狙”的攻击，其看似粗糙，没有利用漏\r\n洞、依赖文件名的社工构造技巧。但在邮件接收人缺少必要安全意识和缺少有效的端点安全防护的情况\r\n下，此类攻击依然十分有效。与大部分攻击活动的载荷部署采用入侵获取的跳板节点或自建部署不同，\r\n其载荷存储于主流公共网盘之上，看似这是一个攻击者没有足够资源权限的场景，但这些网盘的通讯协\r\n议是基于SSL加密的下载木马，既绕开了流量侧的载荷还原检测，也同样绕开了流量侧基于生僻地址的异\r\n常判断。抵达目标端点侧后，“灵猫”组织使用自研的Python后门恶意软件MoleCloud，继续利用主流互联\r\n网服务规避检测，如利用Facebook以及SimpleNote下发指令、利用Dropbox公共网盘来下载新的恶意软件\r\n以及上传窃取到的文件，继续规避了载荷还原、上行内容检查和生僻地址检查。便捷的互联网主流应用\r\n服务，同样可以成为攻击方低成本利用的攻击侧基础设施，其自身基于加密协议通讯，广泛被用户使用\r\n等特点，可能恰恰为攻击活动混迹期间提供了隐蔽性。\r\n        在安天过去的分析报告中，曾多次强调：判断或应对APT的核心是P（持续），而不是高级A（高\r\n级），P由威胁行为体的战略意图和意志的坚持时间决定，而A的上限则由攻击者自身的极限技术和资源\r\n能力决定，而下限则仅需要这种攻击有望突破防御目标中最薄弱点，更何况APT攻击的前奏，很多情况是\r\n对批量目标的投递。在过去对“白象”等APT组织的攻击分析中，我们也披露过这一点。\r\n        当前大部分政企机构依然依靠网络一道边界防护来御敌于城门之外的思想，防火墙等安全网关设备\r\n当然是安全的必备环节，且部署成本低，易于维护，但其也极容易被穿透，如果单点依赖安全网关，一\r\n旦载荷进入到端点侧，就几乎处于无检测管控的状态，并可以恣意渗透，横扫全网。同时端点侧需要选\r\n择EPP+EDR组合能力产品，既能提升第一时间阻断成功率，又能有效支撑集中运营响应。同样针对性免\r\n杀几乎必然出现在定向攻击中，因此，基于动态沙箱的分析设备也已经成为安全的必选项目。\r\n        安天全线产品可有效防御相关威胁，其中安天智甲终端防御系统（IEP）兼具传统EPP强主防能力和\r\nEDR的响应处置能力，基于黑白双控模式实现更有效的威胁阻断。而安天追影威胁分析系统（PTA）可以\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 29 of 34\n\n细粒度地揭示威胁行为，输出C2等多种威胁情报，实现对安天自身产品和其他安全环节的联动部署。同\r\n时用户亦可以通过安天威胁情报综合分析平台（ATID）查询相关威胁情报的丰富信息。\r\n附录一：参考资料\r\n        [1] Operation DustySky\r\n        https://www.clearskysec.com/dustysky/\r\n        [2] Netanyahu meets Saudi crown prince MBS, Pompeo in Saudi Arabia\r\n        https://www.jpost.com/israel-news/netanyahu-mossad-chief-may-have-visited-saudi-arabia-alongside-pompeo-649959\r\n        [3] EnigmaSpark: Politically Themed Cyber Activity Highlights Regional Opposition to Middle East Peace\r\nPlan\r\n        https://securityintelligence.com/posts/enigmaspark-politically-themed-cyber-activity-highlights-regional-opposition-to-middle-east-peace-plan/\r\n附录二：IoCs\r\n钓鱼PDF\r\nMD5 4c61985a5c8c11eb516e592397343f27\r\n压缩包\r\nMD5\r\n48b9a42191dff6371aeb3d7dcb3a8480\r\nf88cf309b2b90198ada36e0686ee7305\r\nf88cf309b2b90198ada36e0686ee7305\r\nb0f7e462dde681004f5b2b1eca1f38e0\r\nURL http://artlifelondon.com/hamas_internal_elections.rar\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 30 of 34\n\nhttps://www.dropbox.com/s/r81t6y7yr8w2ymc/MOM.zip?dl=1\r\nhttps://drive.google.com/uc?export=download\u0026id=1NnMlUPwkxK4_wAJwrqxqBAfdKCPDxyeh\r\nMoleStage Backdoor\r\nMD5\r\n1b1ec8ae327a5543423978e7e58fc44c\r\n5f70d52d2be4d0389eeb1c7e27d5e9bd\r\n79c25e297870ce68907f2c25564a161f\r\na559547c0815d1a4c025d6de25108a70\r\nb0779c7794a52ce0f1aae33539de6f01\r\n5fa06e949fbf66f7e93b1e5f6268c0e5\r\nC2\r\nwww.artlifelondon.com\r\nwww.forextradingtipsblog.com\r\nwww.forextradingtipsblog.com\r\nURL\r\nhttps://forextradingtipsblog.com/beta/mediasG.php?NamePC=\u003cComputerName\u003e\u0026NameUser=\r\n\u003cUserName\u003e\u0026Mask=0\r\nhttps://artlifelondon.com/beta/medias2.php?NamePC=\u003cComputerName\u003e\u0026NameUser=\r\n\u003cUserName\u003e\u0026Mask=0\r\nhttps://artlifelondon.com/beta/medias.php\r\nMoleStage Backdoor Dropper\r\nMD5 42eff3bb0b277214b8faadf1c85e822d\r\nMoleCloud Backdoor\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 31 of 34\n\nMD5 3158e619788d56669175490817863fb1\r\nURL\r\nhttp://simp.ly/p/04T5bp\r\nhttp://simp.ly/p/vyXXKY\r\nhttps://app.simplenote.com/p/vyXXKY\r\nhttps://app.simplenote.com/p/04T5bp\r\nhttps://www.facebook.com/yora.stev.5/posts/109333500993022\r\nhttps://www.facebook.com/yora.stev.5/posts/109332877659751\r\nSpark Backdoor\r\nMD5\r\neea1c70128060e6246bc959a873be7da\r\n60e9b1c155263385f51b80345c292269\r\nC2\r\n168.119.82.89\r\nbrooksprofessional.com\r\nQuasar RAT\r\nMD5\r\nae3d8576594867cfd55bac9fe12d6a54\r\nbb44c8b85109d65e7f2a630f5f4c6fe7\r\n8f201c59e28bb3fb6c09f5c424972988\r\n2ca3f1b013c26f9147547c6d67d02a8c\r\naf44e1c376503429bef73e668e56ab7a\r\nC2 lynsub.com\r\n附录三：关于安天\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 32 of 34\n\n安天致力于全面提升客户的网络安全防御能力，有效应对安全威胁。通过20年自主研发积累，安天\r\n形成了威胁检测引擎、高级威胁对抗、大规模威胁自动化分析等方面的技术领先优势。构筑由铸岳、智\r\n甲、镇关、探海、捕风、追影、拓痕、智信组成的产品方阵，可以为客户构建资产运维、端点防护、边\r\n界防护、流量监测、导流捕获、深度分析、应急处置等安全基础能力。安天通过为客户建设态势感知平\r\n台体系，形成网络安全运行的神经中枢，提升客户统一安全运维能力，并通过快捷精准的威胁情报持续\r\n完成客户赋能。安天的产品和解决方案保障客户从办公内网、私有云、混合云到工业生产网络的全面安\r\n全，保障客户关键数据资产安全和业务运行连续性。使客户能有效应对从病毒传播感染、网络勒索乃至\r\n情报级别的攻击窃密的不同层级的威胁，为客户数字化转型保驾护航。\r\n        安天为网信主管部门、军队、保密、部委行业和关键信息基础设施等高安全需求客户，提供整体安\r\n全解决方案，产品与服务为载人航天、探月工程、空间站对接、大飞机首飞、主力舰护航、南极科考等\r\n提供了安全保障。参与了2005年后历次国家重大政治社会活动的安保工作，并多次获得杰出贡献奖、安\r\n保先进集体等称号。\r\n        安天是全球基础安全供应链的核心赋能方，全球近百家安全企业、IT企业选择安天作为检测能力合\r\n作伙伴，目前，安天的威胁检测引擎为全球超过八十万台网络设备和网络安全设备、超过二十一亿部智\r\n能终端设备提供了安全检测能力。安天的移动检测引擎获得国际知名测试机构颁发的2013年度权威评测\r\n奖项。\r\n        安天是中国应急响应体系中重要的企业节点，在“红色代码”、“口令蠕虫”、“心脏出血”、“破壳”、\r\n“魔窟”等重大安全威胁和病毒疫情方面，实现了先发预警和全面应急响应。安天针对“方程式”、“白象”、\r\n“海莲花”、“绿斑”等几十个高级网空威胁行为体（如APT组织）及其攻击行动，进行持续监测和深度解\r\n析，协助客户在“敌情想定”下形成有效防护，通过深度分析高级网空威胁行为体的作业能力，安天建立了\r\n以实战化对抗场景为导向的能力体系。\r\n        安天是中国自主先进的能力企业代表，在国内外都有较高的影响力。安天是中国网络安全产业联盟\r\n理事长单位、中国网络空间安全协会副理事长单位，中国网络安全人才联盟副理事长单位。在2016年境\r\n外机构Arbor Networks发布的报告中，安天被称为中国反制境外APT攻击的“代言人”企业。在2018年美国\r\n网络安全市场调查公司Cybersecurity Ventures评选的全球网络空间创新五百强榜单上，安天在中国企业排\r\n名中最高。\r\n        安天以“达成客户有效安全价值，提升客户安全获得感，改善客户的安全认知”为企业纲领，崇尚“工\r\n程师文化”，秉承“正直、彪悍、专业、协作”的团队风格。目前已发展成为以哈尔滨为总部基地，拥有六\r\n地研发中心、一个国家工程实验室、两个省级工程中心和重点实验室、一个博士后创新创业基地和多个\r\n高校联合实验室的集团化创新企业，是国内最大的威胁检测对抗企业团队之一。安天重视知识产权，凭\r\n借多年的积累和投入，首批通过了《企业知识产权管理规范》国家标准认证，是国家知识产权示范企\r\n业。\r\n        安天被行业管理机构、客户和伙伴广泛认可，已连续六届蝉联国家级安全应急支撑单位，是中国国\r\n家信息安全漏洞库六家首批一级支撑单位之一，亦是国家网络与信息安全信息通报机制技术支撑单位，\r\n国家信息安全漏洞共享平台成员单位。\r\n        安天实验室更多信息请访问：http://www.antiy.com（中文）        http://www.antiy.net （英文）\r\n        安天企业安全公司更多信息请访问：http://www.antiy.cn\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 33 of 34\n\n安天移动安全公司（AVL TEAM）更多信息请访问：http://www.avlsec.com\r\nSource: https://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20201228.html\r\nPage 34 of 34\n\n安天先后捕获到多个不同版本的MoleStage，其早期的MoleStage是通过一个伪装成Office文件的 Dropper释放，而后续版本则直接被攻击者伪装成Office文件。截至目前，安天CERT发现最早样本的编译   \n时间为2020-09-12 07:31:17+00: 00，而最近的为2020-11-18 08:51:19+00:00。\n   Page 4 of 34",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.antiy.cn/research/notice\u0026report/research_report/20201228.html"
	],
	"report_names": [
		"20201228.html"
	],
	"threat_actors": [
		{
			"id": "0c502f6d-640d-4e69-bfb8-328ba6540d4f",
			"created_at": "2022-10-25T15:50:23.756782Z",
			"updated_at": "2026-04-10T02:00:05.324924Z",
			"deleted_at": null,
			"main_name": "Molerats",
			"aliases": [
				"Molerats",
				"Operation Molerats",
				"Gaza Cybergang"
			],
			"source_name": "MITRE:Molerats",
			"tools": [
				"MoleNet",
				"DustySky",
				"DropBook",
				"SharpStage",
				"PoisonIvy"
			],
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "e5cad6bf-fa91-4128-ba0d-2bf3ff3c6c6b",
			"created_at": "2025-08-07T02:03:24.53077Z",
			"updated_at": "2026-04-10T02:00:03.680525Z",
			"deleted_at": null,
			"main_name": "ALUMINUM SARATOGA",
			"aliases": [
				"APT-C-23",
				"Arid Viper",
				"Desert Falcon",
				"Extreme Jackal ",
				"Gaza Cybergang",
				"Molerats ",
				"Operation DustySky ",
				"TA402"
			],
			"source_name": "Secureworks:ALUMINUM SARATOGA",
			"tools": [
				"BlackShades",
				"BrittleBush",
				"DarkComet",
				"LastConn",
				"Micropsia",
				"NimbleMamba",
				"PoisonIvy",
				"QuasarRAT",
				"XtremeRat"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "1162e0d4-b69c-423d-a4da-f3080d1d2b0c",
			"created_at": "2023-01-06T13:46:38.508262Z",
			"updated_at": "2026-04-10T02:00:03.006018Z",
			"deleted_at": null,
			"main_name": "Molerats",
			"aliases": [
				"Gaza Cybergang",
				"Operation Molerats",
				"Extreme Jackal",
				"ALUMINUM SARATOGA",
				"G0021",
				"BLACKSTEM",
				"Gaza Hackers Team",
				"Gaza cybergang"
			],
			"source_name": "MISPGALAXY:Molerats",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "847f600c-cf90-44c0-8b39-fb0d5adfcef4",
			"created_at": "2022-10-25T16:07:23.875541Z",
			"updated_at": "2026-04-10T02:00:04.768142Z",
			"deleted_at": null,
			"main_name": "Molerats",
			"aliases": [
				"ATK 89",
				"Aluminum Saratoga",
				"Extreme Jackal",
				"G0021",
				"Gaza Cybergang",
				"Gaza Hackers Team",
				"Molerats",
				"Operation DustySky",
				"Operation DustySky Part 2",
				"Operation Molerats",
				"Operation Moonlight",
				"Operation SneakyPastes",
				"Operation TopHat",
				"TA402",
				"TAG-CT5"
			],
			"source_name": "ETDA:Molerats",
			"tools": [
				"BadPatch",
				"Bladabindi",
				"BrittleBush",
				"Chymine",
				"CinaRAT",
				"Darkmoon",
				"Downeks",
				"DropBook",
				"DustySky",
				"ExtRat",
				"Gen:Trojan.Heur.PT",
				"H-Worm",
				"H-Worm RAT",
				"Houdini",
				"Houdini RAT",
				"Hworm",
				"Iniduoh",
				"IronWind",
				"Jenxcus",
				"JhoneRAT",
				"Jorik",
				"KasperAgent",
				"Kognito",
				"LastConn",
				"Micropsia",
				"MoleNet",
				"Molerat Loader",
				"NeD Worm",
				"NimbleMamba",
				"Njw0rm",
				"Pierogi",
				"Poison Ivy",
				"Quasar RAT",
				"QuasarRAT",
				"SPIVY",
				"Scote",
				"SharpSploit",
				"SharpStage",
				"WSHRAT",
				"WelcomeChat",
				"Xtreme RAT",
				"XtremeRAT",
				"Yggdrasil",
				"dinihou",
				"dunihi",
				"njRAT",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775439020,
	"ts_updated_at": 1775792283,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/0817067a5a3f5c104dbb3e44e8f5eaf804ca2db9.pdf",
		"text": "https://archive.orkl.eu/0817067a5a3f5c104dbb3e44e8f5eaf804ca2db9.txt",
		"img": "https://archive.orkl.eu/0817067a5a3f5c104dbb3e44e8f5eaf804ca2db9.jpg"
	}
}