# ⾎茜草:永不停歇的华语情报搜集活动 **mp.weixin.qq.com/s/omacDXAdio88a_f0Xwu-kg** **概述** 奇安信威胁情报中⼼红⾬滴安全研究团队于2011年开始持续对华语来源的攻击活动进⾏追 踪,并在近些年来发布了多篇关于APT组织毒云藤和蓝宝菇的分析报告。 但发布报告并不能制⽌该华语来源的攻击,反⽽变本加厉,在近些年来⽆休⽆⽌的进⾏⽹ 络情报窃取,试图⼤量搜集重点单位的资产,因此奇安信威胁情报中⼼仍在持续对这两个 APT组织进⾏追踪。 如此前有所不同的是,如今该华语来源的攻击活动趋向渔⽹化,通过批量与定向投⽅相结 合,采取信息探测的⽅式辅助下⼀步的定点攻击。该情报搜集活动被我们命名为“⾎茜草⾏ 动”(Operation Rubia cordifolia),由于”⾎茜草”同”蒐”,⽽蒐⼀字经常⽤在繁体中⽂”蒐集 情報”⼀词中,顾如此命名。⽬前我们将该系列攻击活动归属于著名的毒云藤组织。 由于语⾔环境的原因,华语类⽹络攻击通常极具诱惑性。⾎ 茜草活动中,攻击⽬标⾏业主要为军⼯、国防类军情⾏业、 重点⾼等教育科研、政府机构等。 截⾄本报告编写完毕并发布为⽌(2020.10),攻击仍在持续进 ⾏中。 ## ⾏动特点 对于情报蒐集,⽅式是多种多样的,但是在⾎茜草活动中,华语APT组织毒云藤采取的⼿ 法却是最为不择⼿段的:⽹络钓鱼攻击活动。 从2018年⾄2020年,毒云藤组织利⽤⼤陆最常使⽤的社交软件,邮箱系统,以及政府机构 ⽹站,军⼯⽹站,⾼等院校⽹站等进⾏了⼤规模的仿制,⽬的便是获取到受害者尽可能多 的个⼈信息,从⽽为打⼊内部提供便利。 ⾎茜草⾏动特点:最终⽬的为情报收集 基于此,本篇⼤报告中提及的内容,将重点提及⾎茜草活动中涉及的攻击⼿段,希望借此 **机会,提⾼读者的钓鱼攻击识别能⼒,防⽌被攻击者得逞。** ----- ### 攻击流程 攻击分为三种类型:钓鱼⽹站钓鱼、诱饵引诱钓鱼和恶意附件式钓鱼攻击。 其中主要还是以邮件配合钓鱼⽹站进⾏攻击。 具体⼿法为,通过伪装成⼀个合适的⾝份,根据该⾝份进⾏符合攻击⽬标利益的话术编 造,从⽽引诱受害者掉⼊陷阱。 根据我们观察,⾎茜草活动中伪装了多个具备鲜明特⾊的⾓⾊,如智库类⽬标、军民融合 产业园、军事杂志、公务员类猎头公司等等。 伪装这些⾓⾊的意图很明显,就是为了针对⼀些在体制⼯作,需要赚取外快的⼈员,从⽽ 让这些⼈员能够被利益冲昏头脑从⽽掉⼊陷阱中。 下图为⾎茜草活动的其中⼏个场景,需要注意的是,由于该攻击活动异常活跃和频繁,且 攻击事件可达数千起以上,因此仅将典型案例进⾏展⽰。 钓鱼邮件⽅⾯也具备⼀些特点,例如⼀些邮件正⽂具有复制粘贴的痕迹 例如下⾯的邮件正⽂,⾸⾏的称呼中存在字体⼤⼩区别,怀疑为攻击者⾃动复制粘贴,但 未统⼀格式称谓,此外邮件正⽂也较为拗⼜。 ----- ⽽邮件下⽅的伪造附件栏处,会加载外部⽹站的图⽚资源进⽽使得诱饵更为真实 ⼀些邮箱软件不会⾃动加载资源,会显⽰如下(Outlook显⽰图)。 有的攻击活动中还利⽤了⽩⽹站的URL跳转,来绕过⿊域名检测。 针对性钓⻥ 点击邮件⾥的域名跳转,进⼊钓鱼⽹站后,会发现试图让受害者输⼊账号密码从⽽下载附 件。 在对数⼗个钓鱼⽹站的诱饵进⾏分析后,我们发现诱饵⼏乎均与军情,⽹络国防有关。 ----- 下载后的诱饵通常为很少见的⽂档,如国防会议,可见该组织对⼤陆的军情战略研究颇 深。 ----- 甚⾄还有⼀些体制⼈员的简历作为诱饵。 ----- 采访稿 与“台商”相关诱饵 ----- 针对体制⼯作者的万能诱饵 ----- ⼴撒⽹式钓⻥ ⾎茜草活动中,还有⼀类钓鱼⽹站会持续挂在⽹络,并⼀直进⾏数据收集,邮件⼀般会进 ⾏批量群发。 ⾸先,这类攻击,注册的域名就会与仿照⽹站⾮常相似。 例如⽹易公司英⽂名为netease ⽽攻击者注册的钓鱼域名为netesae.net,故意将域名中的字母互换顺序。 ----- 输⼊账号密码后会提出错误提⽰,并最后会跳转到正常的163⽹站。 诱骗钓⻥ 诱骗钓鱼,⼀般指的是通过伪造⾝份的⽅式,欺骗受害者从⽽获取受害者的个⼈信息或财 产的⼿段,多⽤于电信诈骗或⿊产活动。 但实际上,该类型的攻击活动实际上已经被APT组织沿⽤多年,本质上与利⽤社会⼯程学 进⾏信息收集⽆异。 **但在⾎茜草活动中,该诱骗活动与钓鱼⽹站活动同时进⾏的情况,在业界并不多见。** 我们根据诱饵的不同,整理出下⾯⼏种⽅式。 **(⼀)约稿型** ----- 通过著名期刊进⾏约稿⼀直都是境外情报部门的常⽤伎俩,但不同的是,⾎茜草活动主要 ⽬的是,让受害者误以为对⽅是合法机构的前提下,发送内部信息到攻击者处。 该攻击中,邮件会采取约稿的话术,并在附件写明要求,但附件并不携带恶意代码,打开 后就会显⽰约稿需求以及稿酬,最后落款处会写明发稿件的邮箱地址。 **(⼆)招聘型** 招聘,⼀直是APT组织常⽤的伎俩。⽽毒云藤组织在对⼤陆的招聘市场进⾏研究后,选出 了⼀家很有针对性的猎头机构进⾏⾝份伪造,并对⾼端⽬标进⾏定向化攻击。 通过分析发现,被诱骗攻击成功的受害者中,存在回复简历和内部资料的⾏为,并且攻击 **者对此也表⽰回应。因此这⾥需要提醒,切勿打开或回复来源不明的邮件。** 需要注意的是,根据我们观察发现,⾎茜草活动与传统意义上的约稿,⾼薪兼职类型的间 谍活动不太⼀致,此前曝光的间谍攻击是为了获取信⽤逐步刺探窃取机密信息,但是⾎茜 草活动中,其⽬的是为了收集信息,因此⾏动是”骗”,⽬的是”取”,这点需要进⾏区分。 ----- ⽹上关于某某间谍机关的间谍活动简介 **(三)通知服务型** 该类型的钓鱼攻击也是近年来该组织最常使⽤的招式。针对⼀些科研机构,通常会在盗取 的邮箱中,获取到内部的通知,并构造出⼀封⼀摸⼀样的通知进⾏重新下发。 ### 资产特点 我们发现,在⾎茜草钓鱼活动中的域名资产,⼤部分从动态域名提供商处注册,其中注册 的为这类动态域名的⼦域名,⼦域名会伪装成攻击⽬标站点。 serveusers.com serveuser.com ddns.info servehttp.com ddns.net servepics.com ----- zapto.org dynamic-dns.net dsmtp.com organiccrap.com myvnc.com carpox.com dynssl.com securitytactics.com zyns.com ⽽这类钓鱼⽹站对应的服务器均为Vultr vps。 在⼀起案例中,可以看出这系列活动中 存在域名资产复⽤情况。 这是⼀起使⽤XX电⼦展作为诱饵的钓鱼 攻击。 钓鱼⽤域名为downloaddrive.dynamicdns.net,⽽在该下载页⾯⽤加载的RAR 压缩包图⽚使⽤的却是攻击者另⼀个站 点neteaseyhnujm.serveusers.com的图 ⽚资源 相⽐较⽽⾔,其他钓鱼⽹站中,显⽰图⽚均使⽤对应钓鱼⽹站上的图⽚资源。 其中攻击者这个另⼀个站点为neteaseyhnujm.serveusers.com解析IP为 139.180.202.208,还解析到neteasedqwert.serveuser.com,两者均在2019年末被⽤于钓 鱼攻击。 但截⽌报告编写⽇期为⽌已经⽆法访问⽹站,对于其为何会出现在如今的钓鱼⽹站上,我 ⽅怀疑该⽹站被嵌在攻击者的内部测试⽤钓鱼框架中,忘记篡改所致。 ----- 我们在分析过程中,发现在⾎茜草活 动中,攻击者使⽤了⼤量台湾地区IP 进⾏活动,这些台湾地区IP⼤多为动 态IP(*.dynamic-ip.hinet.net),归属 于”中華電信HiNet網路服務”,该服 务为台湾地区最⼤的互联⽹服务提供 商。 其中⼤多为114.44.*⽹段。攻击活动 中存在重合情况。 ⽽我们在对⾎茜草活动中的攻击域名 进⾏分析的过程中,有多个钓鱼域名都解析到了台湾地区的IP,其中我们发现钓鱼域名 cty-thongminhtq.zapto.org 解析到了IP 114.44.6.144。 ## 钓⻥技术细节 ### 钓⻥⽹站框架 ⾎茜草活动中,钓鱼⽹站重多,每种框架也不⼀样,我们按照技术分为多种框架。 **LJFrame** 2018年,LJFrame钓鱼框架频繁出现在奇安信威胁情报中⼼的监测视野中,该钓鱼⽹站配 合邮件进⾏攻击。 ----- ⽽在受害者输⼊⾃⼰的账号邮箱后,该钓鱼⽹站会将数据发送到攻击者服务器后,紧接着 会跳转到⽹易合法的⽹盘。 通过分析⽹站的源代码,可以发现代码会将访问页⾯的时间和当前访问IP⼀同通过表单发 送到服务器 其中checkData1会去确认密码的复杂度,如果长度⼩于1⼤于20则显⽰密码不正确 引诱的URL格式⼤致如下: http://www.emailsevr.net/?downloadlink=XXX&file=XXX&title=XXX 其中Title的名字为下载的⽂件名,下⾯是其中⼀个攻击案例中,进⾏解码后的结果 在输⼊密码长度正确时,点击登陆后,会转向⼀个下载链接,可见,该链接实际上确实为 163的邮箱地址,⽤于⽂件中转存储的地⽅。 ----- 上图演⽰时,⽂件已失效,因此后台会给他返回的⼀个失效链接。 如果存在则会弹出真正的⽹易⽹盘的下载地址。 http://fs.163.com/fs/display/?p=xxx&file=xxx 经过多维度数据关联,我们获取了⼏起攻击案例,其中⼀例如下(其他诱饵可见IOC): ----- **LJFrame 2.0** 从LJFrame 2.0开始,整体框架发⽣了很⼤的变化。 该框架的钓鱼⽹站主要以“QQ邮箱中转站⽂件” ”⽹易云附件下载“ ⽽从这个版本开始,中转站的⽂件也变成伪造形式 其中登陆框采⽤了内置frame的⽅法 格式如下: http://{攻击者域名或IP}/mail/file/163frame.html LJFrame 2.0中,页⾯代码注释均使⽤了繁体中⽂,例如”連結””圖案 ”。 ----- 输⼊账号密码后,⽹站会跳转到 https://{攻击者域名}/documentmail.html ----- ⽽从2020年8⽉开始,由于⼀些安全⼚商曝光了其攻击活动,其最新修改了另⼀种⽅式显 ⽰url⽬录 http://XXXXX/mainX/ 其中main后⾯的数字可以更改,这样会使⼀些钓鱼资产挖掘⽅法失效,⼤⼤减少被反查出 真实钓鱼⽹址的机会。 其中源代码还是均为繁体中⽂注释 **LJFrame 3.0** ----- LJFrame3.0实际上只对2.0版本进⾏了改进。具体⽽⾔,⾎茜草⾏动中为了防⽌被直接通 过IP进⾏资产探测,其对域名的URL进⾏了识别,当直接访问域名或IP只会重定向到 VULRT VPS的界⾯。 ⽽只有在域名后⾯加上index.html, 其才会正确跳转。 采取了加载内置Frame的⼿法 http://{攻击者IP或域名}/qqframe.html 钓鱼框架中也加⼊了邮箱验证,可以看出只允许输 ⼊邮箱账号,充分证明了攻击者的⽬的很单纯。 ----- 输⼊账号后,钓鱼⽹站便会跳转到http://{攻击者域名或IP}/login.php 紧接着再会跳转到另⼀个站点,该站点专门防⽌了可下载诱饵⽂件的页⾯ 跳转站点分为两种: ⼀、 http://{攻击者域名或IP}/ftnExs_downloadk={313437373b+长字符串}.html 长字符串样: 534902565352545104541c040205034c550052554b080c04538.html 根据观察该跳转站点同样会运⽤到LJFrame 2.0框架中,这也证明了两个框架对应的服务 器正在逐步更迭换代。 ⼆、 http://{攻击者IP或域名}/docmail.html 根据分析发现,有的⽂件在该⽹站并未存储,会导致下载失败 ----- 由此可见,LJFrame 2.0 3.0都具备这个问题,根据推测我们认为这是攻击者节省诱饵构造 成本,也可能是没有来得及进⾏部署。 除此之外,与2.0框架不同的是,3.0框架将注释内容全⽤简体中⽂标注,但是仍然有暴露 是使⽤繁体中⽂习惯的拼写。 例如”链接”拼写成”连结” 但实际上,”下載連結”会在繁体使⽤地区被使⽤,包括2.0框架中也是如此标注。 ⽽在2020年疫情爆发期间,攻击者就曾”蹭医疗热点”进⾏钓鱼,可以看见⽹页的注释仍然 为”下載連結” ----- ” 《南部杜⽒中医》献⽅”诱饵⼀览 **CPFrame** 除了LJFrame钓鱼框架外,我们还发现另⼀种钓鱼框架,该框架⼀般通过直接拷贝钓鱼⽬ 标⽹站的代码,通过构造相似的⽬标域名,从⽽让受害者放松警惕进⽽输⼊⾃⼰的账号密 码。 ----- ----- 其中,域名⼤部分为⾃⼰注册的域名,同样还是采⽤了相似词伪造的⽅式,例如: webmaill.net ⼦域名为仿冒的政府站点,如: mail.acca21.xxxx.net mail.cass.xxxx.net mail.ccps.xxxx.net mail.ceair.xxxx.net mail.chiansc.xxxx.net mail.chinaoil.xxxx.net mail.cpifa.xxxx.net mail.fujian.xxxx.net mail.gxi.xxxx.net mail.huanjia.xxxx.net mail.mee.xxxx.net mail.mfa.xxxx.net mail.ouc.xxxx.net mail.weichai.xxxx.net rzport.xxxx.net ----- …. 上述模仿的各类政府、⾼等教育等钓鱼⽹站,均是为了钓取邮箱账号和密码,⽽在后续的 诱饵分发过程中,我们发现了多起毒云藤组织利⽤百度云⽹盘进⾏诱饵分发的情况。 其中⼏个案例中,其同样通过拷贝钓鱼⽬标⽹站的代码,并构造了⼀⾏诱饵⽂字。 ----- 如果验证成功,则会跳转到百度⽹盘 值得注意的是,打开xlsx后,默认显⽰的是新细明体 字体 该字体是台湾地区的Word版本默认中⽂字体 ----- 有趣的是,在我们发现不久后,攻击者转换了攻击模式,选取了⼀个政府站点的公开⽂件 分享的接⼜进⾏诱饵发放。 **FAPPFrame** ⾎茜草活动中,毒云藤组织还通过伪造web APP,试图通过仿造的Web App进⾏钓鱼。 我们捕获到⼀起模仿淘宝钓鱼的攻击案例。 ----- ----- 繁体中⽂的标题 钓取淘宝账号的⼀种⼿段。 ----- ### ⽊⻢附件分析 ⾎茜草活动中同样拥有恶意代码的攻击活动,采取的是按照名单批量投放邮件的攻击⽅ 式。 我们在⼀起攻击中发现其利⽤房价为话题,进⾏钓鱼攻击。 压缩包打开后如下图,⽊马回连域名为officeupdate.mynetav.com ----- 还有另⼀起攻击,使⽤了猎头机构的⾝份进⾏钓鱼邮件攻击 回连域名为:officeupdate.mynetav.com ⽂档打开字体显⽰中⽂(台湾) ----- 通过⽊马特征关联分析,我们发现了同源⽊马,名为 两岸⼀家亲.exe (4eb36b4e019a0df60bbc64d52e6d885b) 回连域名为 maildocument.serveuser.com ⽽该域名已经被奇安信威胁情报中⼼报警为毒云藤。 ----- 该后门框架代码更迭较⼤,样本会先解密C2 建⽴socket连接 向远程服务器发送数据 ----- 判断发送的数据是否为“AUgO” 获取本地磁盘类型,遍历磁盘中的⽂件 ----- 排除以下⽬录 寻找后缀为(doc、docx、csv、lnk)并发送给远程服务器 ----- 最后在%temp%⽬录下⽣成system.bat,⽤于⾃删除 ### 钓⻥诱饵分析 在对数⼗个可以下载的钓鱼⽹站的诱饵进⾏分析后,我们发现诱饵⼏乎均与军情,⽹络国 防有关。 常见为国防会议,可见该组织对⼤陆的军情战略研究颇深。 相关信息.rar ----- 第⼗⼆届北京中国国际国防电⼦展.rar 关于调整部分优抚对象等⼈员抚恤和⽣活补助标准的通知.pdf 我们在对毒云藤组织的历史攻击进⾏复盘过程中,发现了⼀些此前未被批露过的诱饵,借 **此机会展⽰给⼤家,以提⾼读者的安全意识。** 这类型诱饵均为通过⽊马释放。 ----- **(⼀)⽂档类** 20090112300014投稿作者通讯表模 板.doc 《⽕⼒与指挥控制》稿件审查结果通知单.doc ----- **视频类** 元旦.swf 端午.swf ----- **(三)窗⼜类** 恶意软件启动后,会弹出窗⼜提⽰⽂件已经被破坏,请重新安装软件 ## 归属毒云藤原因 毒云藤(APT-C-01)组织是⼀个长期针对国内国防、政府、科技和教育领域的重要机构实施 ⽹络间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,奇安信威胁情报中 ⼼的红⾬滴安全研究团队对该团伙的活动⼀直保持着持续的跟踪。 该组织擅长对⽬标实施鱼叉攻击和⽔坑攻击,植⼊修改后的ZXShell、Poison Ivy、XRAT 商业⽊马,并使⽤动态域名作为其控制基础设施。 去年该组织就使⽤编号为CVE-2018-20250的WinRAR ACE漏洞向中国⼤陆数⼗个重点⽬ 标投递了多个RAT⽊马。投递的RAT⽊马核⼼与3年前的版本相⽐除了配置信息外并未发现 新的功能性更新,证实在恶意软件层⾯毒云藤并未做较⼤的更迭。 其中⼀起攻击中,毒云藤组织投放了⼀个利⽤了CVE-2018-20250的WinRAR ACE漏洞的 压缩包⽂件:2019⼯作规划进度.rar 压缩包打开后,⽂件排列如下所⽰,点开每个⽂件夹,均显⽰为⼀张模糊图⽚,以此来诱 导受害者解压压缩包。 ----- 当使⽤低版本的winrar软件进⾏压缩包解压操作时即会导致漏洞触发, 从⽽导致在%AppData%\Microsoft\Windows\Start Menu\Programs\Startup⽬录释放 svchost.exe,当⽤户重启计算机或者注销登录后将执⾏恶意代码: svchost.exe是⼀个远控⽊马,其启动后连接myaccount.emailsevr.net的80端⼜,创建C&C 信道,发布上线数据包,上线密码: hcc7fd&fp36@,如图: 发布上线数据包后,其会进⼊远控的功能循环部分,并等待接收远控指令。 远控的命令与响应功能如下图: Token 功能 0x04 关闭连接 0x41 远程shell ----- 0x42 进程枚举 0x43 结束指定进程 0x51 枚举驱动器 0x52 列指定⽬录 0x53 上传⽂件到受害者 0x54 下载受害者的⽂件 0x55 删除⽂件 0x56 远程执⾏ 我们将本次的dropper与奇安信威胁情报中⼼于2018年5⽉前追踪的毒云藤针对数家船舶重 ⼯企业、港⼜运营公司等海事⾏业机构发动鱼叉攻击的恶意代码进⾏代码⽐对后,可以发 现本次代码使⽤了同样的⽅法触发异常代码,并进⼊第⼆层的代码,两个⽊马的API调⽤ 函数⼏乎⼀致。 此外,代码中的字符串⽤的均为反序的字符串,通过C语⾔的strrev把字符串反序回来,该 种⽅式,毒云腾曾在2015年的⽊马上使⽤过。 ----- 为了获取更多攻击者的信息,我们通过对⽊马回连的C2:myaccount.emailsevr.net进⾏关 联分析后,发现其解析IP为133.130.102.181 通过奇安信威胁情报平台反查可得部分钓鱼⽹站域名。 在对emailsevr.net域名进⾏访问的时候,我们发现其为⼀个钓鱼⽹站 ⽽在另⼀起钓鱼攻击中,⼀个通过163-tuiguang.net的⾃建邮件服务器发送的钓鱼邮件中, 在点击“点击这边”蓝字可跳转到钓鱼⽹站 ----- 打开后的界⾯与emailsevr.net完全⼀致, 同样是让⽤户输⼊⽤户名密码下载⽂件: 通过分析⽹站的源代码,可以发现代码会 将访问页⾯的时间和当前访问IP⼀同通过 表单发送到服务器,也就是emailsevr.net 服务器 其中checkData1会去确认密码的复杂度,如果长度⼩于1⼤于20则显⽰密码不正确 下载的URL格式⼤致如下: http://www.emailsevr.net/?downloadlink=XXX&file=XXX&title=XXX 其中Title的名字为下载的⽂件名在输⼊密码长度正确时,点击登陆后,会转向⼀个下载链 接,可见,该链接实际上确实为163的邮箱地址,⽤于⽂件中转存储的地⽅。 ----- 上图演⽰时,⽂件已失效,因此后台会给他返回的⼀个失效链接。 如果存在则会弹出真正的⽹易⽹盘的下载地址。 http://fs.163.com/fs/display/?p=xxx&file=xxx ⽽域名163-tuiguang.net便是⾎茜草活动的钓鱼⽹站之源,基于此,可以将⾎茜草活动与毒 云藤组织关联起来。 ## 总结 在对毒云藤组织所进⾏的⾎茜草活动进⾏整体分析后,不难发现该华语APT组织的⼀个攻 击趋势:利⽤社会⼯程学进⾏情报收集。 鉴于钓鱼活动会极⼤的利⽤⼈⼼漏洞,借此报告望读者提⾼对⽹络攻击的识别能⼒,勿要 打开未知来源的邮件的附件或链接,勿要向域名URL奇形怪状的⽹站输⼊邮箱和密码。 ⽬前,基于奇安信威胁情报中⼼的威胁情报数据的全线产品,包括奇安信威胁情报平台 (TIP)、天擎、天眼⾼级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经⽀ 持对此类攻击的精确检测。(Ti.qianxin.com)。 **附录1⾎茜草⾏动部分IOC** ----- LJFrame1钓鱼⽹站域名 neteaseyhnujm.serveusers.com neteasedqwert.serveuser.com www.emailsevr.net yls.dynssl.com 163.dynssl.com 163cloudload.cemtertr.online 163cloudload.securitytactics.com qq-membearzhip.mrbonus.com 163-tuiguang.com netease-master.com 163-member.com netease-help.com netease-decryption.com 163-membership.com 已记载的钓鱼⽹站诱饵⽰例: 真实⽹盘 诱饵名 QQ邮箱 上海*****对象名单.doc 163邮箱 ****⼈才招聘信息.doc ----- 163邮箱 *****名单统计表.xls 163邮箱 征求意⻅通知书.pdf 163邮箱 合同初稿(2018.11.18).docx 163邮箱 关于报送OA系统联络⼈的通知.doc 163邮箱 关于机场信息⼩中⼼及⽅法改造享⽬说明.docx QQ邮箱 《南部杜⽒中医》献⽅.7z QQ邮箱 新表.xls LJFrame2 伪造⽹ 站 163邮 箱 163邮 箱 163邮 箱 126邮 箱 钓⻥域名 解析IP ⽹站诱饵 rilakkuma.justdied.com 139.180.214.245 149.28.154.5 45.76.51.47 45.77.24.192 ***技成果鉴定通知及产业 未来发展预测报告.rar qqmailservers.serveuser.com fuwumostsystem.serveuser.com count.mail.163.com.uswebmailsmtp.online 45.76.94.151 ****⼈才招聘信息.doc 199.247.0.113 serve163.servepics.com 149.28.36.134 2020****学术交流⼤会征稿 通知.pdf ----- 45.76.94.151 ***⼈才招聘信息.doc 163邮 箱 ⽹易免 费邮 QQ中 转站 LJFrame3 qqmailservers.serveuser.com mailfile.dubya.info 149.28.186.36 XX模拟报告.docx webmailaccounts.serveuser.com 78.141.193.185 关于调整****助标准的通 知.pdf 伪造⽹站 钓⻥域名 解析IP ⽹站诱饵 QQ邮箱中 转站 QQ邮箱中 转站 QQ邮箱中 转站 QQ邮箱中 转站 163⽹盘⽂ 件下载 163⽹盘⽂ 件下载 163icpbj.serveusers.com 167.179.101.49 职缺与对应薪酬⼀览 表.7z 163uswebmail.serveusers.com downloaddrive.dynamicdns.net 139.180.216.24 我司兼职职缺与对应薪 酬⼀览表.doc 45.76.66.60 第**电⼦展.rar yaheatyuio.serveuser.com 45.77.44.242 相关信息.rar 126maildownload.serveusers.com mingming.cf ming1.tk 163maildownloadicilp.serveusers.com 167.179.79.209 军⺠融合发展展览兼职 及对应薪资⼀览表.doc 45.32.26.132 征⽂通知.rar ----- 155.138.128.101 军⺠融合发展展览兼职 及对应薪资⼀览表.doc 45.32.27.69 ***疫情期间重要通知.rar 207.148.10.221 相关信息.rar 45.77.157.67 兼职职缺与对应薪酬⼀ 览表.doc 108.61.247.62 职缺与对应薪酬⼀览 表.7z 45.32.28.119 ***防中的应⽤.pdf 163⽹盘⽂ 件下载 163datadownloaddomain.serveusers.com 163emails.ddns.info 163mailboxdownload.servehttp.com email-filedownfile.ddns.net sitdownplease01.servepics.com xproxybox.servehttp.com xproxybox.zapto.org QQ中转站 hkxbbuaa.servehttp.com www.smalll.top QQ中转站 qqmailsoftwarepatch.serveuser.com qqmailsoftwarepatch.serveusers.com softwarepatch.serveusers.com QQ中转站 163mail.serveuser.com qq-cloudmaildownload.serveuser.com qqmailserver.dynamicdns.net qqmailservice.dsmtp.com QQ中转站 163icpbj.serveusers.com winupate.organiccrap.com QQ中转站 maildocument.serveuser.com webmailqq.xyz ----- 163⽹盘 cty-thongminhtq.zapto.org grandviewctd.serveusers.com grandviewins.zapto.org grendviewetd.myvnc.com usviph9.carpox.com 毒云藤样本MD5 004d7c37c65f418e91f5f6329a9f1092 389f7e80b22facf9fda048762fd271b0 182baf8d5e720bb7019b34fc7d2294f9 41c7e09170037fafe95bb691df021a20 **附录2奇安信威胁情报中⼼** 104.238.157.144 军⺠融合发展展览兼职 及对应薪资⼀览表.doc 奇安信威胁情报中⼼是北京奇安信科技有限公司(奇安信集团)旗下的威胁情报整合专业 机构。该中⼼以业界领先的安全⼤数据资源为基础,基于奇安信长期积累的核⼼安全技 术,依托亚太地区顶级的安全⼈才团队,通过强⼤的⼤数据能⼒,实现全⽹威胁情报的即 时、全⾯、深⼊的整合与分析,为企业和机构提供安全管理与防护的⽹络威胁预警与情 报。 奇安信威胁情报中⼼对外服务平台⽹址为https://ti.qianxin.com/。服务平台以海量多维度 ⽹络空间安全数据为基础,为安全分析⼈员及各类企业⽤户提供基础数据的查询,攻击线 索拓展,事件背景研判,攻击组织解析,研究报告下载等多种维度的威胁情报数据与威胁 情报服务。 微信公众号: 奇安信威胁情报中⼼: ----- 奇安信病毒响应中⼼: **附录3 红⾬滴团队(RedDrip Team)** 奇安信旗下的⾼级威胁研究团队红⾬滴(天眼实验室),成⽴于 2015年,持续运营奇安信威胁情报中⼼⾄今,专注于APT攻击类 ⾼级威胁的研究,是国内⾸个发布并命名“海莲花”(APT-C-00, OceanLotus)APT攻击团伙的安全研究团队,也是当前奇安信威 胁情报中⼼的主⼒威胁分析技术⽀持团队。 ⽬前,红⾬滴团队拥有数⼗⼈的专业分析师和相应的数据运营和 平台开发⼈员,覆盖威胁情报运营的各个环节:公开情报收集、 ⾃有数据处理、恶意代码分析、⽹络流量解析、线索发现挖掘拓 展、追踪溯源,实现安全事件分析的全流程运营。团队对外输出 机读威胁情报数据⽀持奇安信⾃有和第三⽅的检测类安全产品,实现⾼效的威胁发现、损 失评估及处置建议提供,同时也为公众和监管⽅输出事件和团伙层⾯的全⾯⾼级威胁分析 报告。 依托全球领先的安全⼤数据能⼒、多维度多来源的安全数据和专业分析师的丰富经验,红 ⾬滴团队⾃2015年持续发现多个包括海莲花在内的APT团伙在中国境内的长期活动,并发 布国内⾸个团伙层⾯的APT事件揭露报告,开创了国内APT攻击类⾼级威胁体系化揭露的 先河,已经成为国家级⽹络攻防的焦点。 团队LOGO: 关注⼆维码: ----- -----