{
	"id": "c4ca94c0-3f53-4861-9a44-7f8b74f6a368",
	"created_at": "2026-04-06T00:16:08.626633Z",
	"updated_at": "2026-04-10T03:29:57.936388Z",
	"deleted_at": null,
	"sha1_hash": "866f8636026c6c2b52719513c2c06654eae9c483",
	"title": "Darkhotel组织渗透隔离网络的Ramsay组件分析-安天 智者安天下",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 4693461,
	"plain_text": "Darkhotel组织渗透隔离网络的Ramsay组件分析-安天 智者安天下\r\nBy 安天\r\nArchived: 2026-04-05 16:49:33 UTC\r\n时间 ：  2020年05月22日  来源：  安天CERT\r\n1 概述\r\n        安天CERT于2020年4月20日发现APT组织Darkhotel在近期的威胁行为，并持续跟进分析，现公布本次\r\n渗透隔离网络的Ramsay组件以及与Darkhotel组织关联分析报告。\r\n        Darkhotel组织是具有国家背景的一般能力国家/地区行为体，又名Dubnium、Nemim、Tapaoux、APT-C-06、T-APT-02等，由Kaspersky于2014年11月首次披露，是一个活跃至今、主要目标国家为中国、朝\r\n鲜、印度、日本的攻击组织。在以往的攻击活动中使用劫持WiFi投递诱饵、鱼叉式钓鱼邮件、0day、\r\nnday、滥用数字签名、白利用，以及感染U盘文件达到突破物理隔离等技术手段。\r\n        在这次事件中，Darkhotel组织的策略是将恶意代码与合法应用捆绑，以往对该组织的披露认为这种\r\n捆绑策略是为了伪装恶意代码，即属于ATT\u0026CK初始投递载荷阶段。但实际上，从近期捕获的样本\r\nRamsay组件来看，与合法应用捆绑的恶意代码属于被感染的文件而非伪装的诱饵，属于ATT\u0026CK内网横\r\n移渗透阶段，主要用于在隔离网络传播恶意代码。判定此次Darkhotel渗透活动属于隔离网络有以下四方\r\n面原因：\r\n        第一，假设目标终端部署杀软，则文件感染的方式很容易被检出，但根据活跃样本的狩猎情况并未\r\n发现更多的样本，说明Darkhotel活动限于特定的目标；\r\n        第二，办公场景的应用安装包多数来自于共享盘下载或者同事之间的信任分享，尤其在隔离网络场\r\n景，无法去应用官网下载；\r\n        第三，早期有关Darkhotel的披露中，如果缺少组件则会通过Powershell下载，但是本次Darkhotel活动\r\n的分析中并未涉及网络请求或者下载行为；\r\n        第四，本次Darkhotel活动不是基于网络协议的C2，而是基于自定义的文件传输控制指令，当Ramsay\r\n扫描到被带入隔离网络环境的感染文档，则读取对应的指令并执行指令对应的载荷对象作为攻击利器在\r\n隔离网络传播。\r\n        通过关联分析捕获到了Darkhotel初始投递阶段的载荷，一镜之中，窥以全豹。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 1 of 35\n\n图 1-1 Darkhotel组织Ramsay组件渗透活动对应的ATT\u0026CK映射\r\n        行动中涉及10个阶段28个技术点，具体技术行为描述如下表\r\n表 1-1 Darkhotel组织Ramsay组件渗透活动具体技术行为描述表\r\nATT\u0026CK阶段/\r\n别\r\n具体行为\r\n初始访问 通过感染可移动介质传播自身或者疑似使用鱼叉式钓鱼邮件传播\r\n执行 通过诱导用户执行，以及利用Windows服务、加载模块API执行\r\n持久化 通过新建服务、利用Applnit DLL(注册表项)、利用计划任务\r\n提权 绕过用户账户控制（UAC）\r\n防御规避 进程注入、软件加壳、DLL搜索顺序劫持、删除文件\r\n发现 发现文件和目录、发现网络共享、发现进程\r\n横向移动 拷贝远程文件、利用远程服务、通过可移动介质复制\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 2 of 35\n\n收集\r\n自动收集、收集本地系统数据、收集网络共享驱动数据、收集可移动介质数据、\r\n获取屏幕截图\r\n命令与控制 通过可移动介质通信、使用自定义C2协议\r\n渗出 压缩数据\r\n2 恶意代码分析\r\n2.1 被感染软件的分析\r\n        被感染软件的时间戳为2020年3月4日，在外观上看似伪装成知名压缩软件7Zip的安装包，考虑到木马\r\n的PE感染机制，这例诱饵很可能是某个受害者网络中被Ramsay v2感染的正常7Zip安装包，并不是最初的\r\n诱饵。\r\n图 2-1 被感染软件图标\r\n        Ramsay v2木马释放原理如下：\r\n        Installer结构负责找到诱饵自身的4个特殊标志的位置，将包含的正常7Zip运行器、Dropper和正常7Zip\r\n安装包提取出来，释放到临时目录并运行：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 3 of 35\n\n图 2-2安装包诱饵结构图示\r\n        正常7Zip运行器负责运行正常的7Zip安装包，在前台弹出交互界面。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 4 of 35\n\n图 2-3弹出正常7Zip安装界面\r\n        Dropper负责释放后续的一系列功能组件：\r\n        Dropper运行后需先检查是否要创建“%APPDATA%\\\\Microsoft\\\\UserSetting\\\\”目录，再检查自身命令参\r\n数是否为\"gQ9VOe5m8zP6\"，是则开始释放多个功能组件。Dropper释放的方式与7Zip诱饵有所不同，且更\r\n直接：从Dropper自身的指定偏移开始，读取指定大小字节，再将前两字节改回MZ头，最后写入指定位\r\n置。\r\n        包含的各组件罗列如下，根据系统环境选择释放：\r\n表 2-1各功能组件\r\n释放路径 大小 主要功能\r\n%TEMP%\\\\%S2.exe\r\n104960 字\r\n节\r\n开源工具UACME，用于BypassUAC\r\n%System32%\\\\Identities\\\\wideshut.exe\r\n595968字\r\n节\r\nDropper自身复制而来\r\n%System32%\\\\Identities\\\\sharp.exe\r\n562064字\r\n节\r\nWinRAR官方主程序\r\n%System32%\\\\Identities\\\\bindsvc.exe\r\n299082字\r\n节\r\n感染本地和内网共享中的EXE，突破网络隔离\r\n%system32%\\\\drivers\\\\hfile.sys 65280字节 内核Rootkit\r\n%system32%\\\\msfte.dll (64位)\r\n221184字\r\n节\r\n窃密 | 打包 | CVE-2017-0147漏洞扫描 | 基于文\r\n件传输的C2通讯\r\n%system32%\\\\msfte.dll (32位)\r\n190464字\r\n节\r\n同上\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 5 of 35\n\n%system32%\\\\oci.dll (64位)\r\n221184字\r\n节\r\n窃密 | 打包 | CVE-2017-0147漏洞扫描 | 基于文\r\n件传输的C2通讯\r\n%system32%\\\\oci.dll (32位)\r\n190464字\r\n节\r\n同上\r\n%system32%\\\\wimsvc.exe\r\n595968字\r\n节\r\nDropper自身复制而来\r\n        以下例举核心功能组件：\r\n\" bindsvc.exe \"组件\r\n        该组件负责感染非系统盘和内网网络共享中的EXE程序，等待攻击目标携带传播进入隔离网络。感\r\n染结果跟上文中7Zip诱饵的文件结构一致，只是末尾的正常软件换成每次的感染对象。具体过程详见第3\r\n章。\r\n\"msfte.dll\"组件\r\n        该组件区分32位和64位。攻击者将其内部命名为：\"Ramsay\"。\r\n        运行方式： \"msfte.dll\"在system32目录下能劫持系统服务\"WSearch\"，被系统程\r\n序\"SearchSystemHost.exe\"以SYSTEM权限调用运行。\r\n        主要功能按导出函数分为DllEntryPoint()，AccessDebugTracer()和AccessRetailTracer()：\r\n2.1.1 导出函数：DllEntryPoint()\r\n        1. 获取本机硬件GUID。\r\n        2. 释放脚本\"%APPDATA%\\\\Microsoft\\\\Word\\\\winword.vbs\"，从用户近期的Word文档中提取纯文本。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 6 of 35\n\n图 2-4从用户近期Word文档中提取文本\r\n        3. 窃取用户近期文件：\r\n        释放官方WinRAR程序，将用户近期文件的快捷方式加密打包：\r\n        %APPDATA%\\\\Microsoft\\\\Windows\\\\Recent\\\\*.lnk （近期用户访问过的文件的快捷方式）\r\n        打包密码为：PleaseTakeOut6031416!!@@##\r\n        4. 检查自身是否处于进程\"HYON.exe\"或\"BON.exe\"或\"Cover.exe\"中，对应为何软件尚未确定。攻击者\r\n还为\"msfte.dll\"组件起了内部名称：\"Ramsay\"，内部版本为v8。\r\n图 2-5 \"msfte.dll\"组件的内部名\r\n        5. 基于自定义的文件传输控制指令，参见第3章。\r\n2.1.2 导出函数：AccessDebugTracer()和AccessRetailTracer()\r\n        1. 向explorer.exe进程注入自身。\r\n        2. 将自身版本号写入\"%APPDATA%\\\\Microsoft\\\\UserSetting\\\\version.ini\"，此次版本为8。\r\n        3. 采集系统信息，包括系统版本、进程列表、网络连接、网络配置、路由信息、ARP表、调用\r\nmsfte.dll的进程、网络分享、Pin \"server\"主机的结果（正常时不存在）、调用了hfile.sys的系统服务。这些\r\n信息会经加密，保存至\"%APPDATA%\\\\Microsoft\\\\UserSetting\\\\MediaCache\\\\\"目录下的. rtt文件。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 7 of 35\n\n图 2-6采集系统信息\r\n        4. 搜集IE浏览器网络缓存目录中后缀名为\".txt\"、\".doc\"和\".xls\"的文档文件：\r\n        \"%USERPROFILE%\\\\AppData\\\\Local\\\\Microsoft\\\\Windows\\\\Temporary Internet Files\\\\Content.IE5\\\\\"\r\n        5. 收集各磁盘信息，包括目录和文件列表、磁盘名、总空间、剩余空间。\r\n        枚举A到Z，采集当前已有磁盘的信息。\r\n        创建名为\"lua\"的窗口，设置lpfnWndProc函数，实现当有外部的可移动存储设备接入时采集其信息：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 8 of 35\n\n图 2-7采集外部可移动存储设备的信息\r\n        6. 内网CVE-2017-0147漏洞扫描：\r\n        CVE-2017-0147为著名的永恒系列中的Windows SMB 信息泄漏漏洞，这里攻击者通过向内网中\r\nMicrosoft 服务器的消息块 1.0 (SMBv1)发送特殊数据包，仅检查其是否存在该漏洞，并不利用：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 9 of 35\n\n图 2-8发送漏扫数据包判断是否可利用\r\n        7. 内网共享目录扫描：\r\n        信息搜集：采集内网网络分享的子目录和文件列表、磁盘名、总空间、剩余空间。\r\n        文件搜集：搜集网络分享目录中后缀名为\".txt\"、\".doc\"和\".xls\"的文档文件。\r\n        8. 加载\"%SystemRoot%\\\\System32\\\\Identities\\\\\"目录下名为\"netmgr_%d.dll\"的DLL，%d取1到9。该DLL\r\n由攻击者传入的隐藏数据释放（参见第3章Ramsay基于文件传输的通讯方式），目前未获得实体：\r\n图 2-9加载netmgr_%d.dll\r\n2.2 漏洞利用文档分析\r\n        漏洞利用文档通过鱼叉式钓鱼邮件进入目标内部网络，先后通过漏洞CVE-2017-0199和CVE-2017-\r\n8570投放VBS脚本，添加注册表项建立持久机制。攻击者将PE文件隐写在图片中，通过VBS脚本加载运\r\n行，利用开源工具绕过UAC，作用主要是收集受害者的系统信息和外部可移动存储设备的信息。\r\n        此次的Ramsay v1样本没有感染正常文件的功能，但有实现基于自定义的文件传输控制指令和渗出能\r\n力。整体看来，这例攻击文档的主要目的是为了对目标的网络环境进行侦察探测。\r\n        文档诱饵“accept.docx”的正文为空白，最后保存时间为2019年5月2日，早于感染的软件诱饵。\r\n        元数据包含韩语“제목”，中文含义是“标题”：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 10 of 35\n\n图 2-10诱饵文档的元数据包含韩语\r\n        文档利用了CVE-2017-0199漏洞，触发后会打开包含的CVE-2017-8570漏洞利用文档“afchunk.rtf”。\r\n        “afchunk.rtf”执行释放的SCT脚本OfficeTemporary.sct。OfficeTemporary.sct 负责释放和执行VBS脚\r\n本%ALLUSERSPROFILE%\\slmgr.vbs。\r\n        slmgr.vbs首先将自身添加进注册表的Run启动项，实现开机启动：\r\n        HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\slmgr，%ALLUSERSPROFILE%\\slmgr.vbs\r\n        然后提取文档包含的图片文件“image1.jpeg”。找到图片数据中的特殊标志，解码后续隐写的PE数\r\n据，释放到%ALLUSERSPROFILE%目录下随机命名的.exe并运行。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 11 of 35\n\n图 2-11图片附加的特殊标志和PE数据\r\n        完整流程如下：\r\n图 2-12 文档诱饵的执行流程\r\n        释放的随机名.exe经深入分析，是属于上文中软件诱饵释放的Dropper的早期版本。\r\n        彼此间有诸多重要的功能代码重合，例如：\r\n        ➢ 运行后先检查自身参数是否为\"gQ9VOe5m8zP6\"。\r\n        ➢ 运行一组CMD命令，采集系统信息。\r\n        ➢ 收集本地和外部可移动存储设备的信息。\r\n        ➢ 加载攻击者投递的“netmgr_%d.dll”，%d取1到9。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 12 of 35\n\n➢ 窃取近期用户文件的快捷方式。\r\n        ➢ 释放开源脚本，从用户近期Word文档中提取纯文本。\r\n        ➢ 使用开源UACME组件BypassUAC。\r\n        ➢ 基于文件传输的命令控制，指令和功能都相同。\r\n        此次Dropper具有的不同点如下：\r\n        ➢ 具有更少的功能组件 ：\r\n表 2-2各功能组件\r\n释放路径 大小 主要功能\r\n%PROGRAMDATA%\\identities\\netwiz.exe 990208字节 Dropper自身复制而来\r\n%WINDIR%\\syswow64\\dpnom.dl 71168字节 向.doc文档写入隐藏数据\r\n%PROGRAMDATA%\\sharp.exe 562064字节 WinRAR官方主程序\r\n        ➢ 每隔30秒截取一次屏幕\r\n        ➢ 当有外部可移动存储设备接入时，除了采集信息，还会截取此刻的屏幕。\r\n        ➢ RAR打包的密码为PleaseTakeOut!@#\r\n        ➢ 基于自定义的文件传输控制指令，参见第3章。\r\n3 突破隔离网络猜想\r\n3.1 突破隔离网络猜想\r\n        攻击者突破目标隔离网络的猜想是基于恶意代码功能的威胁行为，而非恶意代码时序空间的关联。\r\nDarkhotel活动限于特定的目标，在作业活动中依据Ramsay v1木马收集的USB数据信息发现目标存在隔离\r\n网络，由于基于网络协议的C2无法抵达隔离网络，而不得不制定隔离网络感染方案。\r\n        另一方面，鉴于隔离网络通过可移动设备带出的普通文档文件是不涉密的，因此，攻击者选择尽可\r\n能扫描感染隔离网络内部的所有文档，在这过程中，存在将密级文档内容摘要附加在感染的普通文档的\r\n情景，大大提高了重要情报被移动设备带出的可能性。同时，攻击者将Ramsay v2木马保留在隔离网络继\r\n续扫描文档，一旦发现文档带入隔离网络环境，则读取对应的指令并执行指令对应的载荷对象。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 13 of 35\n\n基于自定义的文件传输控制指令完整过程：\r\n        攻击者当前位置可能是位于目标内网，能控制一定数量的机器和共享目录上的文件。\r\n        步骤1. 感染正常的EXE文件，通过受害者携带进入隔离网络的机器中执行。\r\n        步骤2. 被攻陷的隔离网络机器中的窃密数据，被附加到正常Word文档的末尾；\r\n        1) 附加窃密数据的Word文档被受害者携带撤出隔离网络；\r\n        2) 攻击者找到这些Word 文档，读取附加的窃密数据；\r\n        步骤3. 攻击者感染新的Word文档，附加命令和执行对象。\r\n        1) Word文档被受害者携带进入隔离网络；\r\n        2) 附加的命令和执行对象在隔离网络中已被攻陷的机器中得到执行；\r\n        3) 执行结果的日志随着步骤2也被带出隔离网络。\r\n图 3-1 突破隔离网络猜想流程图\r\n3.2 突破隔离网络实现代码分析\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 14 of 35\n\n攻击者突破隔离网络的手段，是通过感染本地非系统盘和内网共享目录中的EXE文件（特别是可移\r\n动存储设备中），形成跟7Zip软件诱饵结构相同的新诱饵，然后寄希望于攻击目标通过移动存储设备携带\r\n进入对外隔离的网络环境中得到运行。\r\n图 3-2正常EXE文件的感染流程\r\n        感染完成的结构模板如下图所示，文件结尾的特殊标志“9J7uQTqgTxhqHaGUue5caaEr3KU”是为了标\r\n记完成，避免重复感染。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 15 of 35\n\n图 3-3感染完成的结构模板\r\n通讯方式：基于文件传输控制指令\r\n        攻击者选择通过办公文件传输数据，突破网络隔离。我们猜测这可能是根据攻击目标频繁携带文档\r\n文件进出隔离网络的办公习性。\r\n        通讯的具体实现可分为2019年版本和2020年版本，以2019年版本为例：\r\n        指令和执行对象的传入：\r\n        攻击者可在隔离网络的外部，感染受害者主机中的.doc和.docx文档，在尾部附加指令和数据形成下图\r\n中的结构。等待攻击目标携带抵达隔离网络中的已感染机器，附加的数据将被Ramsay组件读取并得到执\r\n行。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 16 of 35\n\n图 3-4指令数据附加结构\r\n        基于自定义的文件传输控制指令如下表：\r\n表 3-1 可接收的指令和功能\r\n指令 功能\r\nRr*e#R79m3QNU3Sy 读取执行对象，向TEMP目录释放exe并运行。\r\nCNDkS_\u0026pgaU#7Yg9\r\n读取执行对象，向%ALLUSERSPROFILE%\\\\Identities\\\\目录释放\r\nnetmgr_%d.dll并加载。\r\n2DWcdSqcv3?(XYqT 读取执行对象，运行CMD命令。\r\n        指令完成后，附加数据被删除，感染文档得到还原。\r\n        窃密数据渗出：\r\n        该阶段进行于隔离网络的已感染机器中，步骤如下：\r\n        步骤1：搜寻本地的.doc和.docx文档，要求其创建时间或最后访问时间在1个月以内。\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 17 of 35\n\n步骤2：RAR加密打包集中存放着窃密数据的文件夹，密码为PleaseTakeOut!@#\r\n        步骤3：对RAR压缩包再经一轮自定义加密。\r\n        步骤4：向.doc或.docx文档的末尾附加数据，包括Magic标志、本机硬件GUID和加密的打包数据。由\r\n于同一个文档文件可能被多次感染，因此尾部也可能有多个附加组合。\r\n图 3-5窃密数据附加结构\r\n        步骤5（猜测）：等待受害者携带这批附加着数据的文档渗出隔离网络，抵达已被攻击者攻陷的主机\r\n或共享目录。\r\n        步骤6（猜测）：攻击者根据固定的Magic值，定时在攻陷的受害者主机或共享目录中搜寻文件，找\r\n到这批文档，取出尾部附加的受害主机GUID和窃密数据，完成渗出。\r\n4 样本关联与组织归属分析\r\n4.1 样本关联\r\n        根据“accept.docx”包含的“afchunk.rtf”攻击文档的元数据和漏洞利用特征，能关联出另一\r\n例“afchunk.rtf”：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 18 of 35\n\n图 4-1已知“accept.docx”包含的afchunk.rtf\r\n图 4-2 新关联出的afchunk.rtf\r\n        新关联出的“afchunk.rtf”的母体来自RAR压缩包“技術協議.rar”，整体执行流程如下：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 19 of 35\n\n图 4-3关联样本的完整执行流程\r\n        “googleofficechk.sct”首先将系统当前进程列表的信息构成如下URL，返回给C2：\r\n        http://find-image.com/img/image.php?K=F84hFhfeHUiFQE\u0026test=Base64编码的进程列表\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 20 of 35\n\n图 4-4获取进程列表并返回给C2\r\n        再向系统启动目录下释放“svupdate32.exe”和“msrvc32.exe”。\r\n        “msrvc32.exe”负责收集系统信息，包括系统的版本、架构、地区、语言和注册者，并构造URL将这\r\n些信息发送回C2：\r\n        http://win-api-essentials[.]com/package/v2.php?im=000C29A414B2\u0026fg=u\u0026inf=Base64编码的系统信息\r\n        再构造URL，下载文件到“%LOCALAPPDATA%\\Local\\VirtualStore\\”目录下的随机命名文件：\r\n        http://win-api-essentials[.]com/package/v2.php?im=000C29A414B2\u0026fg=d\r\n        备用C2：http://service.email-126[.]net/box/open.php?se=000C29A414B2\u0026fg=d\r\n        最后根据C2返回数据中包含的指令和文件名，对随机命名的文件进行下一步操作：\r\n表 4-1 可接收的指令和功能\r\n指\r\n令\r\n功能\r\ntta 将随机命名的文件，重命名为给定的字符\r\nttx 将随机命名的文件，重命名为：给定的字符+.exe，休眠5秒后将其运行\r\nttt 将随机命名的文件，移动到临时目录下的给定字符作文件名的文件\r\nttw\r\n将随机命名的文件，移动到“%LOCALAPPDATA%\\Roaming\\Microsoft\\Word\\STARTUP”目录\r\n下，文件名换为：给定的字符+.wll，以此实现在Word程序启动时将其调用运行\r\n其\r\n他\r\n将随机命名的文件，重命名为：给定的字符+.exe+其他\r\n        与Samsay活动，以及DarkHotel历史木马的关联：\r\n        经过对比，“svupdate32.exe”组件与本次Ramsay活动的木马，以及2019年1月被腾讯御见曝光【1】过\r\n的DarkHotel组织基于DropBox的木马程序：eea409bbefee23eb475e4161f06d529a，三者彼此都存在独特代\r\n码的共享：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 21 of 35\n\n图 4-5 “svupdate32.exe”的共享代码\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 22 of 35\n\n图 4-6 DarkHotel基于Dropbox的历史木马\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 23 of 35\n\n图 4-7 Ramsay活动中的netwiz.exe\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 24 of 35\n\n图 4-8三者间存在的共享\r\n4.2 组织关联\r\n        经过深入代码比对，我们发现了Ramsay与Darkhotel组织的诸多关联：\r\n        1. 算法重叠\r\n        Ramsay在数据落地前使用的自定义加密算法逻辑，同奇安信之前披露过【2】的，Darkhotel组织多次\r\n用过的算法一致：\r\n图 4-9 Ramsay的算法样例\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 25 of 35\n\n图 4-10早前奇安信披露的算法\r\n        以及两种算法的组合选择，其中的第二种与曾经披露过的仅多了个加法步骤：\r\n图 4-11此次样本的算法样例\r\n图 4-12奇安信披露的算法\r\n        2. 功能和技术重叠：\r\n        Ramsay与Darkhotel的历史木马存在许多功能和技术重叠，例如：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 26 of 35\n\n➢ 劫持系统的WSearch服务，实现持久化，获得SYSTEM权限。\r\n        ➢ 使用WinRAR加密打包窃取的文件。\r\n        ➢ 创建名为\"lua\"的窗口，实现文件窃取功能。\r\n        ➢ 通过一组CMD命令收集当前系统信息，这组命令大部分重合且顺序相同。\r\n        3. 特殊标志头重叠：\r\n        根据\"bindsvc.exe\"组件用于定位数据位置的标志头：\r\n图 4-13 此次Ramsay木马的标志头\r\n        能够关联出2019年6月的样本，此时这3个标志头依然是用作定位数据的位置：\r\n图 4-14 以往Darkhotel特种木马的标志头\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 27 of 35\n\n在针对本次Darkhotel活动的分析过程中，观察到不同样本载荷存在不同的特殊标志，具有定位数据\r\n位置的作用。这些残留的标志在Darkhotel以往的活动中也曾出现过，从时间轴来看，本次事件的活动与\r\n以往的活动存在重叠交叉，可以看出Darkhotel具备依据目标环境改变迅速迭代的能力，以及及时更新优\r\n化载荷代码的能力。\r\n图 4-15 Darkhotel 特殊标志演化时间轴\r\n        经过详细比对，此2019年的老样本，即为腾讯安全团队2019年6月《“寄生兽”（Darkhotel）针对中国\r\n外贸人士的最新攻击活动披露》[3]报告中描述的Darkhotel特种木马。\r\n        与Darkhotel特种木马重叠的代码很多。例如，判断C2返回数据的开头是否为\"\u003c\\!DOCTYPE html\u003e\"，\r\n是则开始解密。若返回的是\"reset\"，则删除\"vector.dat\"文件：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 28 of 35\n\n图 4-16 2019年的样本\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 29 of 35\n\n图 4-17 腾讯安全团队披露的样本\r\n        拼接C2 URL的字段和值也完全一致：\r\n        2019年样本的C2：\r\n        http://service-security-manager[.]com/c50c9f6c-a306-41d0-8d24-bf0c3a5f4a0e/21270.php?\r\nvol=honeycomb\u0026q=4znZCTTa2J24\u0026guid=本机硬件GUID\r\n        腾讯御见报告的样本C2：\r\n        http://game-service[.]org/584e3411-14a7-41f4-ba1d-e203609b0471/6126.php?\r\nvol=honeycomb\u0026q=4znZCTTa2J24\u0026guid=本机硬件GUID\r\n        4. 部分诱饵文档的元数据包含韩语“제목”和“사용자”，中文意思分别对应“标题”和“用户”：\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 30 of 35\n\n图 4-18 诱饵文档的元数据包含韩语\r\n        诱饵文档的作者在插入图片对象时，使用Office的默认语言也是韩语。\r\n        “그림3”的中文意思是“图片3”：\r\n图 4-19 攻击者通过韩语版Office插入图片\r\n5 小结\r\n        在针对Darkhotel在隔离网络渗透活动的分析过程中，根据文档元数据、漏洞利用特征、Ramsay感染\r\n特殊标志等又关联到Darkhotel近年来的相关活动，表明Darkhotel在网络空间攻击活动的持续性，以及发\r\n现高价值目标之后能够及时部署攻击策略、升级恶意代码感染技术、完善整体攻击流程，彰显Darkhotel\r\n的高级持续威胁属性。\r\n        在2019年安天发布《震网事件的九年再复盘与思考》[4]，表达了传统的反病毒引擎和威胁情报成为\r\n两个具有互补作用的机制，传统的反病毒引擎针对海量的恶意代码的检测、辨识能力，并且通过深度预\r\n处理、虚拟执行等机制来应对恶意代码的变种、变换，因此在载荷检测方面，有无以伦比的识别与解析\r\n深度，而且对海量载荷对象提供了精准的判定机制。在威胁情报金字塔中，HASH、IP、域名等“狭义情\r\n报”被列入底层，即获取难度低、应用成本低。较为容易的被分析防御方提取为攻击指示器（信标），同\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 31 of 35\n\n时可以与多种安全设备、管理设备、防护软件等现有扩展接口实现对接。如果将Darkhotel此次针对隔离\r\n网络渗透活动与复杂度、完成度更高的A2PT震网比较，Darkhotel实现的成本更低，传播、感染、渗出的\r\n过程更加依赖人员带入，但在较长的可持续攻击周期中，依然存在达成目标的可能。同时，在本次针对\r\nDarkhotel的样本关联和组织归属的分析中，通过建立可靠的基础标识能力与响应机制，分析Darkhotel组\r\n织演化的TTP进程以及相关情报，形成了检测引擎与威胁情报结合分析的典型案例。\r\n参考资料\r\n        [1] 疑似Darkhotel APT组织针对中国贸易行业高管的定向攻击披露\r\n        https://s.tencent.com/research/report/646.html\r\n        [2] Darkhotel APT团伙新近活动的样本分析\r\n        https://ti.qianxin.com/blog/articles/analysis-of-darkhotel/\r\n        [3]“寄生兽”（Darkhotel）针对中国外贸人士的最新攻击活动披露\r\n        https://s.tencent.com/research/report/741.html\r\n        [4] 震网事件的九年再复盘与思考\r\n        https://www.antiy.com/response/20190930.html\r\nIOC\r\n序号 哈希值\r\n1 03BD34A9BA4890F37AC8FED78FEAC199\r\n2 07858D5562766D8239A7C961FEEA087C\r\n3 08943BB237926DD1376D799A4AFE797D\r\n4 0B04998EEB9FB22429A04E3D0E134548\r\n5 186B2E42DE0D2E58D070313BD6730243\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 32 of 35\n\n6 1F3606DDA801A6B7E6BD7CC0E8994241\r\n7 25877AA787B213C67854A08452CDFC5B\r\n8 3439318CEDCF37C1BF5FE6D49DDBB2CB\r\n9 359D2D301455A95F8A2655965B386278\r\n10 3654C3FA86F19D253E4C70BDF5F3D158\r\n11 3E805824F80BBA35AC06EAFC80C6B6AD\r\n12 4A52DB18E3618F79983F0CB1DD83F34A\r\n13 4FA4C81A7D1B945B36403DC95943F01E\r\n14 4FA4C81A7D1B945B36403DC95943F01E\r\n15 52E32DE77509DCB406DA3B81FB9055D7\r\n16 53984EF18C965B49EEB3686460AD540B\r\n17 5D0FAA109DCFDA31AC2D493631E606C2\r\n18 5F564A755100D63B9C6374DABD1E5321\r\n19 615A0F818DC0DED2F138D6B3B2DFD6E5\r\n20 6E47F8BE989792800C019BC24DFB1A25\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 33 of 35\n\n21 74805C5477DA842EB0798B95324F3A65\r\n22 7A5503B148E3A1D88BA9E07D95166159\r\n23 7E4572DB796E27848D23EA5D1E8604AA\r\n24 8413AB4D5A950F81B40CEEBC3F1E7273\r\n25 8AA069860D591119AF2859856AD5F063\r\n26 B2B51A85BDAD70FF19534CD013C07F24\r\n27 BB72720BC4583C6C4C3CAA883A7DEC95\r\n28 C2ADF8BF8D8E4409A4725D0334ED8AA6\r\n29 CC4503B59BABD2E07CF278FF11CE99C7\r\n30 CF133C06180F130C471C95B3A4EBD7A5\r\n31 D0EAD87212B0573447F573639DA49FF8\r\n32 EEA409BBEFEE23EB475E4161F06D529A\r\n33 F028D23CB4EA2C5DCF0A2B6BCAADA0C0\r\n34 A211C80068304FB4A9ACD7AB13720D55\r\n35 AA6BB52BD5E3D8B21C113E5AB1A240EA\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 34 of 35\n\n36 BB72720BC4583C6C4C3CAA883A7DEC95\r\n37 C803D412A5E86FA8DE111B77F2A14523\r\n38 DC0222F1E0868C3612A93BA2D83B99BE\r\n39 E48B89715BF5E4C55EB5A1FED67865D9\r\n40 E61BA12C33DB1696715401D8FD0BAAE9\r\n41 F17D7098BDE0B29441BFCD797812CF88\r\n42 FF5D43B210545F931AE80A847D1789BB\r\n序号 域名\r\n1 service-security-manager.com\r\n2 find-image.com（注册邮箱：lorinejeans11@mail.ru）\r\n3 win-api-essentials.com\r\n4 service.email-126.net\r\n5 service.email-126.net\r\nSource: https://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nhttps://www.antiy.cn/research/notice\u0026report/research_report/20200522.html\r\nPage 35 of 35",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"ETDA",
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://www.antiy.cn/research/notice\u0026report/research_report/20200522.html"
	],
	"report_names": [
		"20200522.html"
	],
	"threat_actors": [
		{
			"id": "1dadf04e-d725-426f-9f6c-08c5be7da159",
			"created_at": "2022-10-25T15:50:23.624538Z",
			"updated_at": "2026-04-10T02:00:05.286895Z",
			"deleted_at": null,
			"main_name": "Darkhotel",
			"aliases": [
				"Darkhotel",
				"DUBNIUM",
				"Zigzag Hail"
			],
			"source_name": "MITRE:Darkhotel",
			"tools": null,
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "b13c19d6-247d-47ba-86ba-15a94accc179",
			"created_at": "2024-05-01T02:03:08.149923Z",
			"updated_at": "2026-04-10T02:00:03.763147Z",
			"deleted_at": null,
			"main_name": "TUNGSTEN BRIDGE",
			"aliases": [
				"APT-C-06 ",
				"ATK52 ",
				"CTG-1948 ",
				"DUBNIUM ",
				"DarkHotel ",
				"Fallout Team ",
				"Shadow Crane ",
				"Zigzag Hail "
			],
			"source_name": "Secureworks:TUNGSTEN BRIDGE",
			"tools": [
				"Nemim",
				"Tapaoux"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "2b4eec94-7672-4bee-acb2-b857d0d26d12",
			"created_at": "2023-01-06T13:46:38.272109Z",
			"updated_at": "2026-04-10T02:00:02.906089Z",
			"deleted_at": null,
			"main_name": "DarkHotel",
			"aliases": [
				"T-APT-02",
				"Nemim",
				"Nemin",
				"Shadow Crane",
				"G0012",
				"DUBNIUM",
				"Karba",
				"APT-C-06",
				"SIG25",
				"TUNGSTEN BRIDGE",
				"Zigzag Hail",
				"Fallout Team",
				"Luder",
				"Tapaoux",
				"ATK52"
			],
			"source_name": "MISPGALAXY:DarkHotel",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "c0cedde3-5a9b-430f-9b77-e6568307205e",
			"created_at": "2022-10-25T16:07:23.528994Z",
			"updated_at": "2026-04-10T02:00:04.642473Z",
			"deleted_at": null,
			"main_name": "DarkHotel",
			"aliases": [
				"APT-C-06",
				"ATK 52",
				"CTG-1948",
				"Dubnium",
				"Fallout Team",
				"G0012",
				"G0126",
				"Higaisa",
				"Luder",
				"Operation DarkHotel",
				"Operation Daybreak",
				"Operation Inexsmar",
				"Operation PowerFall",
				"Operation The Gh0st Remains the Same",
				"Purple Pygmy",
				"SIG25",
				"Shadow Crane",
				"T-APT-02",
				"TieOnJoe",
				"Tungsten Bridge",
				"Zigzag Hail"
			],
			"source_name": "ETDA:DarkHotel",
			"tools": [
				"Asruex",
				"DarkHotel",
				"DmaUp3.exe",
				"GreezeBackdoor",
				"Karba",
				"Nemain",
				"Nemim",
				"Ramsay",
				"Retro",
				"Tapaoux",
				"Trojan.Win32.Karba.e",
				"Virus.Win32.Pioneer.dx",
				"igfxext.exe",
				"msieckc.exe"
			],
			"source_id": "ETDA",
			"reports": null
		}
	],
	"ts_created_at": 1775434568,
	"ts_updated_at": 1775791797,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/866f8636026c6c2b52719513c2c06654eae9c483.pdf",
		"text": "https://archive.orkl.eu/866f8636026c6c2b52719513c2c06654eae9c483.txt",
		"img": "https://archive.orkl.eu/866f8636026c6c2b52719513c2c06654eae9c483.jpg"
	}
}