----- # 目录 ### 概述 ............................................................................................................................. 3 多种攻击手法 ............................................................................................................ 3 攻击行动特点 ............................................................................................................ 3 邮件结合钓鱼网站定向攻击 .........................................................................................................4 邮件木马附件定向攻击 ...................................................................................................................9 安卓APK 攻击 ....................................................................................................................................9 疑似“商贸信”攻击 .......................................................................................................................... 10 ### 诱饵分析 .................................................................................................................. 11 攻击活动总结 .......................................................................................................... 13 样本分析 .................................................................................................................. 15 SFX 样本分析 ................................................................................................................................... 15 宏样本分析 ....................................................................................................................................... 22 RTF 恶意文档分析 .......................................................................................................................... 24 模板注入攻击文件分析 ................................................................................................................ 25 Dephi 注入器 .................................................................................................................................. 32 ### 溯源与关联 .............................................................................................................. 37 与“魔罗桫”APT 组织(Confucius)的关联 ........................................................................... 37 ### 总结 ........................................................................................................................... 43 IOCs .......................................................................................................................... 43 附录 1 奇安信威胁情报中心 ........................................................................... 46 附录 2 红雨滴团队(RedDrip Team) ......................................................... 47 ----- # 概述 奇安信威胁情报中心红雨滴安全研究团队多年来持续对南亚次大陆方向的攻击活动进 行追踪。我们对蔓灵花、摩诃草、响尾蛇等相关组织均做过大量的分析和总结。上述组织长 期针对中国、巴基斯坦、尼泊尔等国和地区进行了长达数年的网络间谍攻击活动,主要攻击 领域为政府机构、军工企业、核能行业、商贸会议、通信运营商等。 而近些年来,随着南亚边境冲突加剧,越来越多攻击组织借助中印关系为主题,针对中 国关键基础设施部门发起网络攻击活动,我们长期追踪分析的“魔罗桫”APT 团伙便是其中 之一(国外安全厂商命名的 Confucius)。 该组织自 2013 年起便持续活跃,奇安信内部对该团伙命名为“魔罗桫”。而由于近年来 该组织对其内部攻击项目的命名:Project tibbar,故我们将该组织近期的攻击活动命名为: 提菩。 # 多种攻击手法 在提菩攻击活动中,攻击团伙使用了多种攻击手法:邮件结合钓鱼网站,邮件结合木马 附件,单一投放木马,恶意安卓 APK 投放等等。其中值得注意的是,攻击团伙除了使用自 定义的特种木马外,疑似还使用了一些商业,开源木马。 在分析攻击载荷过程中,红雨滴发现该团伙不仅使用了高敏感性的、诱惑性的恶意文档 名称,还发现该组织疑似使用了类似“商贸信”的攻击手法。这一点与以往传统的 APT 组 织不太一致,这或许是该组织隐蔽自身攻击活动的方式,从而加大分析人员溯源的难度。 奇安信威胁情报中心对整个活动进行了剖析,将报告呈现于此。截至本报告发布 (2020.09),攻击活动仍在持续进行中,报告末尾将公开详细技术分析和 IOC 指标,以供参 考。 # 攻击行动特点 **提菩行动特点:** **1.** **对攻击目标异常了解** ----- **2.** **根据目标单位进行定制化华语类网络攻击活动** **3.** **疑似使用“商贸信“活动混淆视听** 本次报告批露的攻击类型分为四种类型:邮件结合钓鱼网站定向攻击、邮件木马附件定 向攻击、安卓 APK 攻击以及疑似得商贸信活动。 ### 邮件结合钓鱼网站定向攻击 Tibber 活动早期攻击手法与南亚另一 APT 组织蔓灵花及其相似,均采用了“”邮件安 全警告”为诱饵,诱导受害者访问钓鱼网站从而窃取其账户密码相关信息。如下: 而近期该组织开始转变其攻击手法,采用 html 代码进行附件伪造,当受害者尝试点击 附件时,会被重定向到攻击者精心伪造的钓鱼网站。其中转发邮件信息部分为攻击者自行添 加,主要目的是使得邮件具备真实性。 ----- 此外,构造一段”转发邮件信息”已经是比较常见的钓鱼邮件攻击,但是“魔罗桫”组织 采用了 N 层转发邮件信息构造,类似下面的邮件截图,其中配合的话术类似:“这邮件很重 要”、“该查看附件了”、“及时反馈!”、“收到请确认!”、“该文档需要优先处理”,等等。 ----- ----- 还有一系列的攻击中,“魔罗桫”组织还故意使用红色警示语,营造一种很紧急的氛围, 让攻击目标去点击钓鱼链接。 攻击者采用的钓鱼网站策略也极具特色,当受害者点击上图链接后,会跳转到伪装成 163 的邮箱文件中转站。 点击打开文件按钮后,会加载一份 PDF 文件,当文件加载完毕,并在显示出文件的部 分内容后会马上跳转,而不给用户下载的机会,并要求用户登陆才可以下载 ----- 重定向至攻击者伪造的登陆界面,需要注意的是,攻击者在该页面采取了一些小心思, 受害者第一次输入密码并登陆无论如何都会显示密码错误,只有受害者第二次输入密码再点 击登陆才会成功跳转到 PDF 文件下载的地方。这可能是攻击者为了防止攻击目标故意输错 密码,测试是否为钓鱼网站,而设置的陷阱。 除了伪造 163 邮箱的钓鱼网站外,“魔罗桫”组织还会使用政府网站的邮箱系统作为伪 造页面,几乎其所有攻击目标,该组织均构造了一个钓鱼网站,其中邮箱系统的页面源码均 为复制自原网站。 上述均为在邮件里面加入超链接表单的攻击,除了直接跳转到钓鱼网站,“魔罗桫”组 织还采用了 URL 跳转的方式进行攻击,其中涉及 Google 等等。 格式如下 [https://www.google.com/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&ved=XXXXX&](https://www.google.com/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&ved=XXXXX&url=XXXXXX%2F&psig=XXXX&ust=XXXX) [url=XXXXXX%2F&psig=XXXX&ust=XXXX](https://www.google.com/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&ved=XXXXX&url=XXXXXX%2F&psig=XXXX&ust=XXXX) 最后,“魔罗桫”组织中文水平也许并不是非常强,经常出现中文语法错误的句子。但 是,该组织对于中国的国情、舆情、国防军工资产等等了解的非常透彻,并且很擅长社会工 程学,经常会在邮件里进行回复,从而诱导目标去打开链接或附件。 ----- 例如:“上班之前请打开附件,然后我会发给某先生”,而这个某先生正好是这个攻击目 标的上级,这需要一个非常有经验的信息收集和分析团队同步进行才可能达成这个定向性的 攻击活动。 ### 邮件木马附件定向攻击 使用带有附件的钓鱼邮件攻击方式由 2020 年开始使用,与以往南亚次大陆方向的组织 攻击模式类似,而该活动中,主要特点在于该组织使用了 avast 杀毒软件加入邮件中,显得 附件已经接受过杀软查杀为安全,让目标放松警惕,下放同样结合了钓鱼网址攻击的手法: 转发邮件信息。 ### 安卓APK 攻击 与南亚其他 APT 团伙类似的是,Tibber 行动攻击组织也擅长双平台攻击,在溯源关联 过程中,红雨滴捕获了两例疑似针对巴基斯坦的攻击样本,样本以巴基斯坦铁路相关为应用 ----- 名称进行伪装,相关信息如下。 应用名称 **MD5** **ITW** **Government** **Officers.apk** 005e8de2974db8722073fa54e8b8d435 http://185.214.10.220/1/officers_list.apk **Pak Railways.apk** e91e10978ace80a789363288ffee178a 经分析发现此类样本为开源安卓木马 spynote 改写而来。 ### 疑似“商贸信”攻击 在分析过程中, 红雨滴研究人员基于钓鱼域名捕获了一些疑似该组织利用“商贸信” 手法传播商业,开源木马的攻击样本,相关信息如下: |文件名 MD5|Col2| |---|---| |Programmable%20Logic%20Control%20(PLC)%20Sys tem.zip|f66d98a61c5b00423da7c7adf028 cd0a| |MOM 中讨论的项目更新进度.rar|25ed7244f6cc13de912038156184 a420| ||ca06302c2e1b12cd69dfd2c1a95f| ----- |Col1|6b64| |---|---| ||29b076fbaddd032059335a6156e 7801f| |OJOINT INSPECTION OF INSULATION MATERIAL 57th BATCH OF KoM - 15HT-2 (SB-278).rar|3e84bf8e1f9b469c3fcc24281a1f6 5dc| 此类样本都是基于黑市上贩卖的注入器和开源的远控结合而成,给我们的溯源过程造成 了巨大的困难。 # 诱饵分析 从 2018 年至今的攻击,我们将攻击中涉及到的诱饵,伪造的正常程序的名称以及诱惑 性词汇进行了筛选(其中有涉及印度相关词汇的诱饵名称)。 India's 5th Gen Fighter Jet Report.exe Adviser Senior Director eysd.docx Revised Programmable Logic Control (PLC) System.exe Policy_update.exe Crashreporter.exe Officers_List.apk PakRail.apk Programmable Logic Control (PLC) System.zip KB-Auto-win-update.exe **Notepad.NET.exe** **010Editor.exe** vs_community.exe 通过关键词数量统计后的词云图如下: ----- 除诱饵名外,其钓鱼活动中,所使用的钓鱼链接前缀均为攻击目标的单位名称,或者试 图钓鱼攻击目标的邮箱账号的平台: **maill.xxx.org.cn.XXXXXX.com** **Mail.xxx.com.cn.XXXXXX.com** **xxx.cn.coremail.xt5. XXXXXX.com** **login.mail.xxx.cn.xxmail.xt5. XXXXXX.com** **login.mail.126.com. XXXXXX..com** **login.mail.163.com. XXXXXX..com** **auth.mail.sina.com.cn. XXXXXX.com** [而其中有一个钓鱼网址为:www.thesundayguardianlive.com.jspsessionindex.com](http://www.thesundayguardianlive.com.jspsessionindex.com/) 其中前缀网站是印度的《星期日卫报》,该报由政治家 MJ Akbar 创立,现隶属于印度人 民党,故我们猜测该域名可能被用于攻击印度党派成员 ----- # 攻击活动总结 从提菩行动的攻击目标侧进行分析,可以发现目标集中在中国、巴基斯坦、尼泊尔三个 国家。 其中,攻击行业为:航空航天技术部门、船舶工业业、核工业(含核电)、商务外贸、国 防军工、政府机关(含外交)、科技公司等。 从总体攻击目标,再结合诱饵分析一章提到的零零散散的目标,不难看出提菩行动的主 要战略目的:窃取特定国家的核心国防军工技术。 而从战术层面,从 2018-2019 年的通过钓鱼网站进行信息收集,再到 2020 年开始进行 具体有针对性的木马攻击,都可以看出,攻击强度正在上升,也意味着攻击组织弹药准备充 足,这从他们对多个开源木马进行研究,并自行修改便可看出这点。 当然还有一个很重要的一点事,有针对性的攻击,在辅佐表面看上去无针对性,但实际 上是存在针对行为的”商贸信”攻击,反而可以让攻击事半功倍,让攻击目标放松警惕。 在附录中,我们除了将整个攻击过程进行了分析,并且还给出了提菩行动与“魔罗桫” APT 组织(Confucius APT)的关联分析结果,而其中比较重要的关联证据在于:该攻击组 织会复用旧的邮箱资产用于攻击,而 2018-2020 年的攻击持续使用邮件+钓鱼网站的形势攻 击,2020 年的攻击使用了木马附件攻击,基于此将行动与“魔罗桫”APT 组织关联。见下 图: ----- 最后值得一提的是,在钓鱼网站活动中,存在两个域名,域名为 jspsessionindex.com 和 owaauthlogon.com ,然而,两个域名解析的 IDC 服务器 IP 192.99.34.204 ,也被域名 info.viewworld71.com 解 析 , 其 中 有 一 个 蔓 灵 花 的 特 种 木 马 Winlogs.exe(1ec463b985b7d45937eacfdef4c11729)会回连此 C2 域名。此外,提菩行动中,钓 鱼邮件攻击的战法也和蔓灵花的攻击战法非常相似。 **但由于我们着眼于发件邮箱强关联,因此仅认为这是蔓灵花组织和“魔罗桫”APT 组织** **(Confucius APT)在基于IP 的网络资产重叠,并不能将其作为钓鱼网站即为蔓灵花组织所** **使用的直接证据。** **而在此前我们就已经对南亚次大陆的几个组织进行过资产重叠的研究,发现这几个组织** **均存在网络重叠,也许几个攻击小组之间存在合作关系。** ----- # 样本分析 SFX 样本分析 **文件名** **MD5** **类型** **India's 5th Gen Fighter Jet Report.exe** 878ad290280bb9e880c1366e8c386e1a SFX 样本解压后的内容如下: 运行后会释放以上三个文件并启动updt.exe,该程序由VB 编写,主要功能为打开file.pdf 和启动WINWORD.exe ----- Vbp 信息如下: @*\AProject1 tibbar\Desktop\codes\file bind\Project1.vbp @*\AC:\Documents and Settings\tin\Desktop\archive run 2 files\file open test\Project1.vbp ----- 基于VBP,我们可以看到相关的项目名称:Project tibbar,作者ID 疑似为Tin。 PDF 内容如下: 内容与印度第五代战斗机有关,WINWORD.exe 后门名为crashreporter.exe,.net 混淆 器,我们将其命名为DeMnu ----- 混淆代码中带有中文 核心代码在txtbook.Crashreport 类中,在构造函数中会注册两个事件 在XyyVVLI5G 回调函数中会解密payload ----- 之后调用De 函数内存加载,调用payload 的导出函数P 内存加载的PE 名为Pj.dll 是该组织特有的loader 程序,我们该loader 命名为Polyloader 根据配置文件决定是否反沙箱、反虚拟机 ----- 接着通过PolyDeCrypt 解密出另一个PE,并调用RunNet 函数 内存加载PE,经过分析,该PE 为开源远控,AsyncRat 相关C2:45.86.162.29:15097 ----- 配置文件中服务器端证书如下: SerialNumber:"00B68E6DB2BB7412FABCBAA2192394AD" Thumbprint:"1C3CBEAADDC4AAA8F3B743F4D7E8537F4C1EA597" Subject:"CN=AsyncRAT Server" 在分析过程中发现,VT 上的样本大部分为CN 上传,结合相关信息可以断定本次活动 是针对相关单位的定向攻击事件。 ----- ## 宏样本分析 我们捕获到的恶意压缩包内容如下: **文件名** **MD5** **类型** **Annexure Project requirement.xls** c9d7b9e1d2eadb8657ec84ff2d20b98c 宏文档 **Project progress update.xlsm** 59bc5eb1d3f1affd1496dfbb61f1537e 宏文档 文档内容如下,通过错误数据的形式诱导用户启用宏 可以看到VT 上的查杀率极低: ----- 样本的主要功能为从远程服务器下载payload,并将payload 拷贝到startup 目录下: 相关URL 如下: http://authowawebmailgo.com/update/images/image.php ----- [http://authowawebmailgo.com/securemail.auth/hello.jpg](http://authowawebmailgo.com/securemail.auth/hello.jpg) 下载的Image.png 为.net 编写的DeMnu 混淆器。 加载Polyloader 后最终运行AsyncRat,C2 与上述一致,hello.jpg 由VB 编写,弹出提 示框,迷惑用户: ## RTF 恶意文档分析 **文件名** **MD5** **类型** **letter** **to** **ADP** **for** **clearance** **of** **CRVs** **20200720.doc** 4e548b5597f995b42decd7591ba4212e RTF RTF 内嵌了一个DeMnu 混淆器 ----- 执行流程与上述相似,最终会访问authowawebmailgo.com/securemail.auth/c.html,而 当我们分析时已无法访问,尚不清楚后续的具体信息。 ## 模板注入攻击文件分析 **文件名** **MD5** **类型** **Adviser Senior Director eysd.docx** 7b2b6e47e33dddce7406fc989592ab50 Doc 文档 文档内容如下: ----- 内容为外交部招聘相关信息,模板注入地址如下: 由于LK7378872 文档没有下载到,但是通过沙箱我们找到了最终释放的payload **文件名** **MD5** **类型** **mldll.exe** 72503d7ef52495efa109941274b8769f PE 下载的样本为DeMnu 混淆器的变种,执行逻辑稍有变化,左为本次样本逻辑,右为SFX 和宏样本中的DeMnu 混淆器逻辑 ----- 解密出来的DLL 依然为Polyloader Polyloader 如下: ----- 内存加载AsyncRat 相关C2: fiesta.kozow.com:4567 ----- 服务器证书相关信息如下: Subject:CN=AsyncRAT Server Thumbprint:DEE2B1E9F3FD0FD8171648A3B528A85577C49FFA SerialNumber:00B27593843DC41AC674EA5021879CF5 而另一个模板注入样本如下 **文件名** **MD5** **类型** **mal testin.docx** 47568de42706aa3da39a03d1d0feddca Doc 文档 文档内容与新冠病毒有关: 其模板注入地址为: ----- IN4447832 为带有11882 漏洞的RTF 文档: [从远程服务器(http://the-moondelight.96[.]lt/windw-sec/append)下载payload](http://the-moondelight.96%5B.%5Dlt/windw-sec/append) **文件名** **MD5** **类型** **append** b96fe909c2d2f458abf71665ce1bb1ef PE 文件 **Append** 4cc8577c844e2492840aed08876eb1c4 PE 文件 样本包含PDB 信息如下: C:\Users\W7H64\Desktop\VCSamples master\VC2008Samples\crt\SecureCRT\before\Debug\SCRTbefore.pdb 服务器上的样本疑似经过了一次替换,新替换的样本去掉了PDB,通过PDB 可知投递 的payload 是一款名为SecureCRT 的付费远控 ----- C2 为:23.82.140.14:433,通过C2 还能关联到另一个RTF 文档,疑似模板注入的后续 **文件名** **MD5** **类型** **gather** 6d7d69e897351f6af2399bfdcf00983a RTF 下回来的相关文档内容如下: ----- [ITW:http://karlsuites[.]com/word/update/gather](http://karlsuites%5B.%5Dcom/word/update/gather) ## Dephi 注入器 我们在“魔罗桫”APT 组织的钓鱼攻击活动涉及的域名下发现了带有payload 的压缩包。 在对样本进行分析前,我们需要对钓鱼活动中用于攻击的域名进行简单分析。 jspsessionindex.com 经常被用于钓鱼活动,曾经对中国多个重点单位进行攻击,目前有 友商认为这是蔓灵花使用的攻击域名,但我们根据邮件直接证据以及域名的命名方式发现组 织归属有待商榷,在行动总结章节末尾已经给出了我们的解释。 **子域名** **目标** **maill.cass.org.cn.login.to.continue24354.jspsessionindex.com** 中国社会科学院 ----- **mail.spacestar.com.cn.jspsessionindex.com** 航天恒星 **ecatic.cn.coremail.xt5.jspsessionindex.com** 中航技进出口有限责任公司 **login.mail.csoc.cn.coremail.xt5.jspsessionindex.com** 中国船贸 **login.mail.chinaships.com.coremail.xt5.jspsessionindex.com** 中国船舶 **www.maill.cetci.com.cn.coremail.jspsessionindex.com** 中国电子科技集团 **avicintl.cn.coremail.xt3.jspsessionindex.com** 中航国际 其还会伪装成新浪、163、126 的邮件,进行更加通用的攻击 **子域名** **伪装对象** **login.mail.126.com.hhwwebmail.jspsessionindex.com** 126 邮箱 **login.mail.163.com.hhwwebmail.jspsessionindex.com** 163 邮箱 **auth.mail.sina.com.cn.jspsessionindex.com** 新浪邮箱 除此之外,我们还发现了伪装成印度《星期日卫报》新闻网站的钓鱼域名 **子域名** **目标** www.thesundayguardianlive.com.jspsessionindex.com 星期日卫报 尚不清楚这么做的原因,但是印度《星期日卫报》由政治家MJ Akbar 创立,现隶属于 印度人民党,该域名可能被用于攻击印度的不同党派者。 回到样本层面,如下表格的URL 所示,该域名url 含有一个zip 压缩包。样本信息如下: **文件名** **MD5** **ITW** **Programmable** **Logic Control (PLC)** **System.zip** f66d98a61 c5b00423da7c 7adf028cd0a https://jspsessionindex.com/jsp_sessionidHLD9823rye09YHDYDo8y32/Programm able%20Logic%20Control%20(PLC)%20System.zip 压缩包内容如下: ----- PDF 已损坏,压缩包中带有损坏的文档和一个可执行文件,这种手法APT28 也用过, 凑巧的是可执行文件同样由Dephi 语言编写: **文件名** **MD5** **编译器** **Revised** **Programmable** **Logic** **Control** **(PLC)** **System.exe** 器 9d9ea8060ca29139803dc7e0dc7d183c Dephi 注入 第一次运行时会执行持久化操作,将自身拷贝到%appdate%/data 目录下,并在启动目录 释放Msgr.exe.vbs 文件: 核心逻辑在创建的线程中,通过出发异常的形式执行恶意代码,存在大量的花指令 ----- 主要功能解密shellcode 并执行,shellcode 会解密一个PE,进行进程替换操作,我们将 其命名为Ssphi Injector 经过分析注入的PE 为DarktrackRAT ----- 除此之外我们还找到了“魔罗桫”APT 组织所投放的DDE 样本 **文件名** **MD5** **文件类型** **AIT.doc** 1331b068477e2974894a899c855bfc4b word 文档 ----- [从远程服务器(coremailxt5mainjsp[.]com/ps/sgrm.exe)下载Ssphi Injector,最终加载](https://www.virustotal.com/gui/search/behaviour_network%253A%2522http%253A%252F%252Fcoremailxt5mainjsp.com%252Fps%252Fsgrm.exe%2522) DarktrackRAT,coremailxt5mainjsp.com 与上述类似也用于钓鱼攻击。 **子域名** **伪装对象** **us02web.zoom.us.coremailxt5mainjsp.com** Zoom **msword.windowsupdate.microsoft.msn.coremailxt5mainjsp.com** Windows 更新 # 溯源与关联 与“魔罗桫”APT 组织(Confucius)的关联 奇安信威胁情报中心红雨滴团队根据基于内部大数据平台等,对此次攻击活动的钓鱼邮 件手法,发件邮箱,使用木马等方面关联分析发现,此次攻击活动疑似出自我们内部跟踪的 南亚APT 组织“魔罗桫”之手。 通过对Polyloader 加载的AsyncRat(6d264218807f705f6fabac5418a7ebaa)的后门进 ----- 行拓线时发现了与其编译时间相同的样本。 关联的样本如下: 其中样本(75c55e8a9b00a1d724ef4d451da5806f)的C2 为188.215.229.20:8080。与 188.215.229.20 有关联的多个样本为“魔罗桫”APT 组织(Confucius APT)使用过的特马 ----- 关联相关样本信息如下: **文件名** **MD5** **ITW** **FINAL.exe** e7b6ec85ece1c431f07b4a47e264190d http://92.118.190.16/FINAL.exe **audiopro.exe** c3d422c2065ec3d9063929a1d4955416 http://anf.gov.pk/js/plugins/audiopro.exe **UA-COVID-** **19.exe** 19/UA-COVID-19.exe 2d2fe787b2728332341166938a25fa26 http://anf.gov.pk/pmstesting/export/test/covid 其中部分样本被挂在巴基斯坦反毒品部队官网上。 上述样本与2019 年时“魔罗桫”APT 组织(Confucius APT)使用的泄密木马同源: ----- 其中还有未曾披露过的SFX 类型的样本 **文件名** **MD5** **ITW** **plan.exe** d373bf68ceb8e395719a1ad6befba66d http://wahindustries.com.pk/js/plan.exe 样本被挂在巴基斯坦WIL 兵工厂网站上 执行链如下:vbs->bat->lnk->dropper exe,Netvmon.exe 为.net 编写的injector,混淆 代码中也出现了中文: ----- 主要功能为注入上述泄密木马 [以上样本的C2: http://188.215.229.20/2.php,可以基本断定188.215.229.20 为“魔罗桫”](http://188.215.229.20/2.php%EF%BC%8C%E5%8F%AF%E4%BB%A5%E5%9F%BA%E6%9C%AC%E6%96%AD%E5%AE%9A188.215.229.20) APT 组织的基础设施。关联的样本中有一个名为Notepad.NET.exe 的样本引起了我们的注 意: **文件名** **MD5** **ITW** **Notepad.NET.exe** 842c3c8b62e4ed67ec529ab08ee87c4a http://185.214.10.220/1/KB-Auto-win update.exe 该样本为DeMnu 混淆器变种 ----- 内存加载Polyloader,最终释放的AsyncRat 如下 相关C2 信息:188.215.229.20:(22|8080) 服务器证书信息如下: Subject:CN=AsyncRAT Server Thumbprint:153A7EA3A7ACB476FD66D214E61E51BB35B4A24B ----- SerialNumber:00B7C6B7197558146FB298AA80BDEC99 除此之外我们对DeMnu 混淆器ITW 的IP(185.214.10.220)进行关联时发现该IP 下的 所有样本均为“魔罗桫”APT 组织(Confucius APT)的窃密木马: **文件名** **MD5** **C2** **010Editor** 33a2941742ed2f4b6b412d239711d6a3 http://185.214.10.220/2.php **rcs.exe** 8a4e265cfbad8d136222dda60505b61d http://185.214.10.220/p.php 94a87ee68fe8f998df3ffc84bb459a1d http://185.214.10.220/2.php **vs_community.exe** dee2bc2f5424874a5fc7cf51c4cd2b55 185.214.10.220/2.php **vs_community.exe** 2d2fe787b2728332341166938a25fa26 http://185.214.10.220/2.php **nvbackend.exe** d2d7723310c67b3df3d25529ca8b5a3b http://185.214.10.220/p.php **Policy_update.exe** cab163e740e10b9572a6424e69cce1d5 http://185.214.10.220/p.php ef34e809b4a0e33eb1222409d13068ab http://185.214.10.220/p.php # 总结 目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台 (TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持 对此类攻击的精确检测。(Ti.qianxin.com)。 # IOCs 1331b068477e2974894a899c855bfc4b ----- 005e8de2974db8722073fa54e8b8d435 e91e10978ace80a789363288ffee178a 878ad290280bb9e880c1366e8c386e1a c9d7b9e1d2eadb8657ec84ff2d20b98c 59bc5eb1d3f1affd1496dfbb61f1537e 7b2b6e47e33dddce7406fc989592ab50 72503d7ef52495efa109941274b8769f 47568de42706aa3da39a03d1d0feddca b96fe909c2d2f458abf71665ce1bb1ef 4cc8577c844e2492840aed08876eb1c4 6d7d69e897351f6af2399bfdcf00983a 75c55e8a9b00a1d724ef4d451da5806f e7b6ec85ece1c431f07b4a47e264190d c3d422c2065ec3d9063929a1d4955416 2d2fe787b2728332341166938a25fa26 d373bf68ceb8e395719a1ad6befba66d 842c3c8b62e4ed67ec529ab08ee87c4a 33a2941742ed2f4b6b412d239711d6a3 8a4e265cfbad8d136222dda60505b61d 94a87ee68fe8f998df3ffc84bb459a1d dee2bc2f5424874a5fc7cf51c4cd2b55 2d2fe787b2728332341166938a25fa26 d2d7723310c67b3df3d25529ca8b5a3b cab163e740e10b9572a6424e69cce1d5 ef34e809b4a0e33eb1222409d13068ab authowawebmailgo.com he-moondelight.96.lt hhwebmail.com xt5coremail.com jspsession.com ----- sessionexpire.com coremailxt5mainjsp.com msword.windowsupdate.microsoft.msn.coremailxt5mainjsp.com us02web.zoom.us.coremailxt5mainjsp.com http://185.214.10.220/p.php http://185.214.10.220/2.php http://92.118.190.16/FINAL.exe http://anf.gov.pk/js/plugins/audiopro.exe http://anf.gov.pk/pmstesting/export/test/covid-19/UA-COVID-19.exe http://wahindustries.com.pk/js/plan.exe http://185.214.10.220/1/KB-Auto-win-update.exe http://coremailxt5mainjsp.com/ps/sgrm.exe http://185.214.10.220/1/officers_list.apk ----- # 附录1 奇安信威胁情报中心 奇安信威胁情报中心是北京奇安信科技有限公司(奇安信集团)旗下的威胁情报整合专 业机构。该中心以业界领先的安全大数据资源为基础,基于奇安信长期积累的核心安全技术, 依托亚太地区顶级的安全人才团队,通过强大的大数据能力,实现全网威胁情报的即时、全 面、深入的整合与分析,为企业和机构提供安全管理与防护的网络威胁预警与情报。 奇安信威胁情报中心对外服务平台网址为https://ti.qianxin.com/。服务平台以海量多维 度网络空间安全数据为基础,为安全分析人员及各类企业用户提供基础数据的查询,攻击线 索拓展,事件背景研判,攻击组织解析,研究报告下载等多种维度的威胁情报数据与威胁情 报服务。 微信公众号: 奇安信威胁情报中心: 奇安信病毒响应中心: ----- # 附录2 红雨滴团队(RedDrip Team) 奇安信旗下的高级威胁研究团队红雨滴(天眼实验室),成立于2015 年,持续运营奇安 信威胁情报中心至今,专注于APT 攻击类高级威胁的研究,是国内首个发布并命名“海莲花” (APT-C-00,OceanLotus)APT 攻击团伙的安全研究团队,也是当前奇安信威胁情报中心 的主力威胁分析技术支持团队。 目前,红雨滴团队拥有数十人的专业分析师和相应的数据运营和平台开发人员,覆盖威 胁情报运营的各个环节:公开情报收集、自有数据处理、恶意代码分析、网络流量解析、线 索发现挖掘拓展、追踪溯源,实现安全事件分析的全流程运营。团队对外输出机读威胁情报 数据支持奇安信自有和第三方的检测类安全产品,实现高效的威胁发现、损失评估及处置建 议提供,同时也为公众和监管方输出事件和团伙层面的全面高级威胁分析报告。 依托全球领先的安全大数据能力、多维度多来源的安全数据和专业分析师的丰富经验, 红雨滴团队自2015 年持续发现多个包括海莲花在内的APT 团伙在中国境内的长期活动,并 发布国内首个团伙层面的APT 事件揭露报告,开创了国内APT 攻击类高级威胁体系化揭露 的先河,已经成为国家级网络攻防的焦点。 团队LOGO: 关注二维码: -----