{
	"id": "f6e42043-e245-4840-9ed4-a88d84da6455",
	"created_at": "2026-04-06T00:18:04.438794Z",
	"updated_at": "2026-04-10T13:12:47.782896Z",
	"deleted_at": null,
	"sha1_hash": "725228e211a2d6264e044b6cda023c5468b6e980",
	"title": "假面行动(Operation MaskFace)-疑似针对境外银行的利用问卷调查为主题的钓鱼攻击事件分析 -    安恒威胁情报中心",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2151087,
	"plain_text": "假面行动(Operation MaskFace)-疑似针对境外银行的利用问卷调查为主\r\n题的钓鱼攻击事件分析 -    安恒威胁情报中心\r\nBy 猎影实验室\r\nPublished: 2021-09-05 · Archived: 2026-04-05 13:06:06 UTC\r\n事件背景\r\n安恒威胁情报中心猎影实验室近期捕获到一起针对疑似位于印度的渣打银行相关人员的攻击。攻击者使用的钓鱼\r\n链接中涉及利用社会工程得到的几个肯尼亚渣打银行员工姓名。样本伪装成渣打银行的“包容性调查”excel表，诱\r\n导受害者点击。\r\n攻击分析\r\n样本分析\r\nMD5：ea6aada909417fdf57d2dfae599e6650\r\n样本名：SCB_Inclusiveness_Survey.xlsm\r\n样本打开后的内容与标题一致，内容是针对渣打银行员工的包容性调查表。\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 1 of 10\n\n诱导受害者启动宏代码\r\n执行过程中会从\r\nhttp://ec2-3-66-213-57.eu-central-1.compute.amazonaws[.]com/standardchartered/survey/content/45-08-34-BD-B7-82-16-\r\n7D-B1-CA-E5-9B-F3-C1-E4-C9?uid=\u0026seid=\r\n下载payload，解密后执行\r\n样本分析\r\nMD5：cadd4c9df2c5eda49d2b5c3e745b619e\r\n样本名：survey.dat.log1\r\n由宏代码内链接下载解密得到，是个可执行文件\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 2 of 10\n\n样本设置了很多反虚拟机检查。检查是否处于调试状态、CPU线程数量、硬盘大小等方式\r\n通过反虚拟机检查后，样本会将TEA加密后的恶意代码解密\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 3 of 10\n\n并创建一个新的线程运行shellcode\r\n同时调用一起解密出的DLL文件，MD5：e4a2fa6a2d4604d319df2c2a5c22a22c\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 4 of 10\n\n将其中的一段BASE64编码的数据解码后得到MD5为\r\n83337c2399d2bbb1118ec8de3b658e78的 PoshC2载荷\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 5 of 10\n\n通信的流量会伪装为zscloud的API请求\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 6 of 10\n\n回连的地址为：\r\nec2-3-68-104-84.eu-central-1.compute.amazonaws[.]com\r\nec2-3-122-177-39.eu-central-1.compute.amazonaws[.]com\r\nec2-18-157-74-118.eu-central-1.compute.amazonaws[.]com\r\nPoshC2介绍\r\nPoshC2是一款基于PowerShell和C#的命令控制工具框架，用于帮助渗透测试人员进行红队、后渗透和横向攻击。\r\nPoshC2主要以Python3形式编写，采用模块化格式，使用户能够添加自己的模块和工具，从而允许灵活扩展的C2框\r\n架。\r\n关联分析\r\n本样本的链接地址为\r\nhttps://s3.amazonaws[.]com/angela.malusi/SCB_Inclusiveness_Survey.xlsm\r\nSCB是渣打银行的缩写，在领英上查找Angela Malusi，可以看到渣打银行确实有此员工\r\n拓线查找相关样本，可以看到这位ChrispineMigwi以及这位RoselynMutunga\r\n的名字也被用于制作恶意链接\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 7 of 10\n\n相关的链接与关联的样本见下表\r\n样本MD5 下载链接\r\n875e671e4265ff9acaed05a36dae8505 https://s3.amazonaws[.]com/roselyn.mutunga/SCB_Inclusiveness_Survey[.]xlsm\r\nea6aada909417fdf57d2dfae599e6650 https://s3.amazonaws[.]com/angela.malusi/SCB_Inclusiveness_Survey[.]xlsm\r\nb1402cdf09202711b6ad76486b4a2171 https://s3.amazonaws[.]com/michael.rading/SCB_Inclusiveness_Survey[.]xlsm\r\n0d14cbc350ce43f150dc027701c08019 https://s3.amazonaws[.]com/chrispine.migwi/SCB_Inclusiveness_Survey.xlsm\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 8 of 10\n\n总结\r\n本次攻击中涉及的社会工程信息很细致，攻击者在信息收集上明显有过精心准备，使用的几位员工的资料都来自\r\n在职员工。钓鱼选取的主题也使用了容易让重视包容性的渣打银行的员工中招的包容性情况调查表，诱导性很\r\n强。\r\n样本方面，攻击者设置了多处反虚拟机和反调试检查，在解密以及解码后才得到最终的PoshC2载荷，回连的IP都\r\n来自近期启用的amazon云服务器。综合这些信息，该样本也有一定可能出自红蓝对抗的攻击队。\r\n防御建议\r\n对于这类钓鱼攻击，企业和机构应当注重培养人员安全意识，不轻易打开未知来源的邮件及附件，不随意点击未\r\n知链接，不随意打开未验证可靠来源的文档。\r\n安恒APT攻击预警平台能够发现已知或未知威胁，平台能实时监控、捕获和分析恶意文件或程序的威胁性，并能\r\n够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。\r\n同时，平台根据双向流量分析、智能的机器学习、高效的沙箱动态分析、丰富的特征库、全面的检测策略、海量\r\n的威胁情报等，对网络流量进行深度分析。检测能力完整覆盖整个APT攻击链，有效发现APT攻击、未知威胁及\r\n用户关心的网络安全事件。\r\n安恒主机卫士EDR通过“平台+端”分布式部署，“进程阻断+诱饵引擎”双引擎防御已知及未知类型威胁。\r\nIOC\r\nURL：\r\nec2-3-68-104-84.eu-central-1.compute.amazonaws[.]com\r\nec2-3-122-177-39.eu-central-1.compute.amazonaws[.]com\r\nec2-18-157-74-118.eu-central-1.compute.amazonaws[.]com\r\nMD5：\r\ncadd4c9df2c5eda49d2b5c3e745b619e\r\nea6aada909417fdf57d2dfae599e6650\r\n875e671e4265ff9acaed05a36dae8505\r\nb1402cdf09202711b6ad76486b4a2171\r\n0d14cbc350ce43f150dc027701c08019\r\ne4a2fa6a2d4604d319df2c2a5c22a22c\r\nIP:\r\n3.68.104[.]84\r\n3.122.177[.]39\r\n18.157.74[.]118\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 9 of 10\n\nSource: https://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nhttps://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/\r\nPage 10 of 10",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://ti.dbappsecurity.com.cn/blog/articles/2021/09/06/operation-maskface/"
	],
	"report_names": [
		"operation-maskface"
	],
	"threat_actors": [],
	"ts_created_at": 1775434684,
	"ts_updated_at": 1775826767,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/725228e211a2d6264e044b6cda023c5468b6e980.pdf",
		"text": "https://archive.orkl.eu/725228e211a2d6264e044b6cda023c5468b6e980.txt",
		"img": "https://archive.orkl.eu/725228e211a2d6264e044b6cda023c5468b6e980.jpg"
	}
}