Confucius:隐藏在CloudFlare下的垂钓者
日前,安天副总工程师李柏松接受《环球时报》记者的采访,披露了安天CERT近期发现的印度APT组织“Confucius”,及其针对巴基斯坦政府、军事机构的攻击活动(环球网文章详见今日第二条转载文章)。本篇为详细分析报告。
日前,安天副总工程师李柏松接受《环球时报》记者的采访,披露了安天CERT近期发现的印度APT组织“Confucius”,及其针对巴基斯坦政府、军事机构的攻击活动(环球网文章详见今日第二条转载文章)。本篇为详细分析报告。
近期,安天CERT在对来自南亚次大陆方向的攻击事件进行追踪和梳理时,发现一起Confucius组织针对巴基斯坦政府、军事机构的攻击活动。
该组织的命名最早出自国外安全厂商Palo Alto Networks在2016年发布的分析报告[1],在该报告中,Palo Alto Networks披露了一个印度攻击组织的攻击活动,该组织攻击活动最早可追溯至2013年,其擅长使用鱼叉式钓鱼邮件、水坑攻击以及钓鱼网站,配合丰富的社会工程学手段对中国、巴基斯坦、孟加拉国等印度周边国家政府、军事、能源等领域开展以窃取敏感资料为目的的攻击活动。该组织在早期攻击活动中,曾借助具备留言互动功能的国际知名网站(例如Quora,类似我国的知乎),在公开的留言中夹带经过加密编码处理的木马远控服务器地址。该组织使用的木马被植入受害主机后,可从这类公开留言中获取内容,解密还原真正远控服务器地址。因此,木马在受害主机的首次网络访问行为会被视为正常的网页请求,而攻击者却可以借助这些国际知名网站持续更换远控地址或下发其他指令。Palo Alto Networks在相关恶意代码连接的一个Quora页面中,发现攻击者张贴的内容有“Confucius says”字样,即“孔夫子说”,或“子曰”,于是把这个组织称为Confucius。可见攻击者持续攻击中国过程中,也对中国的文化进行了研究。
在安天CERT发现的本次攻击活动中,该组织主要伪装成巴基斯坦政府工作人员向目标投递鱼叉式钓鱼邮件,通过钓鱼邮件内容诱骗目标下载、打开嵌入恶意宏代码的文档,从而向目标机器植入开源木马QuasarRAT、自研C++后门木马、C#窃密木马以及JScript下载者木马。
表1‑1 整体攻击活动特征总结
攻击时间 | 2021年至今 |
攻击意图 | 持续控制、窃密 |
针对目标 | 巴基斯坦 |
针对行业/领域 | 政府、军事机构 |
攻击手法 | 鱼叉邮件、钓鱼网站、利用第三方云存储服务存放恶意载荷 |
目标系统平台 | Windows |
诱饵类型 | 诱饵PDF文件、恶意宏文档、恶意RTF文件、恶意快捷方式等 |
开发语言 | C++、VBScript、C#以及JScript |
武器装备 | C++后门木马,C#窃密木马、C#下载者木马、开源木马QuasarRAT、JScript下载者木马 |
域名 | 仿冒对象 |
pmogov.info | 巴基斯坦总理办公室 |
pmogov.online | 巴基斯坦总理办公室 |
ndu-edu.digital | 巴基斯坦国防大学 |
psca-gop-pk.digital | 巴基斯坦旁遮普安全城市管理局 |
nadra.digital | 巴基斯坦国家数据库和注册管理局 |
mofa-pk-server.live | 巴基斯坦外交部 |
fbr-notice.com | 巴基斯坦联邦税务局 |
fbr-tax.info | 巴基斯坦联邦税务局 |
notice-fbr.tax | 巴基斯坦联邦税务局 |
fbr-mail.online | 巴基斯坦联邦税务局 |
csd-pk.online | 巴基斯坦食堂百货部(巴基斯坦国防部旗下连锁零售企业) |
本次攻击活动的整体攻击流程,如下图所示:
在本次攻击活动中,为了阻碍安全分析人员对其攻击活动进行分析、溯源,攻击者采用以下手段来规避检测:
● 故意将C#下载者木马、C#窃密木马的时间戳伪造成不真实的时间,以对抗时区分析。
● 使用加密的恶意宏代码文档,密码一般是位于邮件正文、PDF正文以及钓鱼网站页面中。攻击者通过对恶意宏文档进行加密,保证了非目标人群获得恶意宏文档时,没有密码也无法对恶意宏文档进行打开、分析。
● 域名都使用CloudFlare(美国内容交付网络和 DDoS 缓解公司)的CDN加速服务,该服务可以有效隐藏域名所解析服务器的真实IP地址。
● 利用CloudFlare防火墙功能对访问IP的地址位置进行筛选,只有访问IP位于特定国家时,访问页面才会跳转至真正的恶意宏文档下载页面。
3.1 执行流程分析
3.1.1 利用Word宏文档释放综合窃密组件
图3‑3 Jobs_in_GHQ_Rawalpindi_2022.docm
3.1.2 利用Excel宏文档释放后门组件
图3‑5 DEPT_NCOC-3-31.xlsm
图3‑6 DigitalAssestsAudit.xlsm
3.2 攻击武器分析
3.2.1 恶意Word宏文档
3.2.1.1 恶意Word宏文档
病毒名称 | Trojan[Dropper]/MSOffice.Agent.ccd |
原始文件名 | SRIU-AppForm.docm |
MD5 | 41CDCEC8311F735E1ED8D3BAB9192173 |
文件大小 | 87.5 KB (89,600 bytes) |
文件格式 | Document/Microsoft.DOCM[:doc 2007-2013] |
创建时间 | 2022-05-19 11:50:00 +00:00 |
最后修改时间 | 2022-05-27 09:02:00 +00:00 |
创建者 | SO-PAU |
最后修改者 | Windows User |
通过对该恶意Word文档嵌入的宏代码进行分析,发现攻击者编写的宏代码结构、功能十分简单,主要有以下功能:
1. 当受害者触发“DOWNLOAD FORM”按钮时,下载白文件至宿主机“Download”目录下,并弹出消息弹窗说明文件保存位置。
2. 攻击者根据宿主机是否存在杀毒软件McAfee的安装文件夹,来释放不同阶段的C#下载者木马。
当宿主机存在杀毒软件McAfee的安装文件夹时,从文档中的“Comments”属性中提取Stage 3 C#下载者木马ASCII数据(在本样本中,由于攻击者的失误,导致木马数据实际上是存放在文档的“Description”属性中),将ASCII数据转化成二进制数据后,将其命名为“sdjkfhkjsdh.txt”释放至宿主机%TEMP%目录下,并为释放的木马创建每二十分钟执行一次的计划任务进行持久化。
图3‑10 释放Stage 3 C#下载者木马
当宿主机不存在杀毒软件McAfee的安装文件夹时,则是会从文档中的“Subject”属性中提取Stage 1 C#下载者木马ASCII数据,将ASCII数据转化成二进制数据后,将其命名为“sdjkfhkjsdh.txt”释放至宿主机%TEMP%目录下,并利用PowerShell执行该木马。
3.2.1.2 恶意Excel宏文档
表3‑2 恶意Excel宏文档样例
病毒名称 | Trojan[Dropper]/MSOffice.Agent.ccd |
原始文件名 | FBR5323-Notice.xlsm |
MD5 | 06B5A67BF37FED5B92C2211F342D7F0A |
文件大小 | 937 KB (959,488 bytes) |
文件格式 | Document/Microsoft.XLSM[:xls 2007-2013] |
创建时间 | 2015-06-05 18:17:00 +00:00 |
最后修改时间 | 2022-05-10 09:17:00 +00:00 |
创建者 | TAX&FBR |
最后修改者 | Abbasi |
图3‑15 FBR5323-Notice.xlsm
图3‑16 提取隐藏在sheet中经过Base64加密的QuasarRAT数据
图3‑18 解密、释放QuasarRAT
3.2.2 综合窃密组件
表3‑3 Stage 1 C#下载者木马
病毒名称 | Trojan/Win32.Downloader |
原始文件名 | PoryaenFuaQzye.dll |
MD5 | C676EB09E74308A879658FDA6FCB74FC |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 8.50 KB (8,704 bytes) |
文件格式 | Win32 DLL |
时间戳 | 2076-10-03 02:38:51 +00:00 (伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C# / Basic .NET |
Stage 1 C#下载者木马功能比较简单,主要是从攻击者挂载服务器上获取Stage 2 C#下载者木马ASCII文件,然后将ASCII文件转换为二进制文件,最后将其加载到内存中并跳转到动态函数进行执行。
图3‑21 Stage 1 C#下载者木马功能
表3‑4 Stage 2 C#下载者木马
病毒名称 | Trojan/Win32.Downloader |
原始文件名 | SowpnTdb.dll |
MD5 | 31A5973AFABF2FEBE9690F20AC045973 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 348 KB (356,864 bytes) |
文件格式 | Win32 DLL |
时间戳 | 2022-04-22 13:02:49 +00:00 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C# / Basic .NET |
Stage 2 C#下载者木马功能为下载Stage 3 C#下载者木马,并且为Stage 3 C#下载者木马创建名为 “YunoHonow”的计划任务,该计划任务会每20分钟使用系统工具PowerShell加载执行Stage 3 C#下载者木马。
表3‑5 Stage 3 C#下载者木马
病毒名称 | Trojan/Win32.Downloader |
原始文件名 | RioucXkjdiEjkhd.dll |
MD5 | FD7555A617420B42BA946FCC5248D07F |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 10.0 KB (10,240 bytes) |
文件格式 | Win32 DLL |
时间戳 | 2083-02-05 20:09:11 +00:00(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C# / Basic .NET |
表3‑6 Stage 4 C#窃密木马
病毒名称 | Trojan[Spy]/Win32.Stealer |
原始文件名 | Rwlksdnasjd.dll |
MD5 | 53C5FCDD09A53BAE6C21E0CADD85AEC2 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 11.5 KB (11,776 bytes) |
文件格式 | Win32 DLL |
时间戳 | 2067-12-02 18:52:44 +00:00(伪造) |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C# / Basic .NET |
3.2.3 后门组件
表3‑7 C++后门木马
病毒名称 | Backdoor/win32.Agentb |
原始文件名 | Print.dll |
MD5 | 46417AD0FC33783C298B7441ACED2C1A |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 220 KB (225,792 bytes) |
文件格式 | Win32 DLL |
时间戳 | 2022-04-12 05:09:50 +00:00 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C/C++(2013)[DLL32] |
其次,通过创建互斥量来确保宿主机中只有一个木马程序正在运行,本样例木马使用的互斥量为“v2.1.1”。在后续,安天CERT又捕获到互斥量为“v2.1.4”的C++后门木马,由此可推断出后门木马使用的互斥量为当前木马版本号。
图3‑33 计划任务名称
然后,木马会为宿主机生成唯一的身份标识回传至C2服务器,身份标识的构成如图3-35所示:
图3‑36 身份标识样例
图3‑37 判断操作系统版本
图3‑38 判断运行环境是虚拟机还是物理机
图3‑39 判断操作系统位数
图3‑43 获取进程程序完整路径
图3‑44 回传的进程信息格式
图3‑45 检索磁盘信息
图3‑47 所要检索的网络信息
检索应用程序信息:通过检索注册表HKLM\Software\\Microsoft\\Windows\\CurrentVersion\\Uninstall的子项来获取宿主机所安装的软件的名称、版本以及所在路径等信息。
图3‑51 需要排除的目录
最后,待上述信息回传完毕后,木马就进入后门状态,等待C2服务器下发指令,执行对应功能。
通过对木马分析,发现攻击者主要是利用多重While循环来实现后门操作,其设计的每个While循环都能执行一种或多种功能。
攻击者下发的指令可分为一级和二级指令,一级指令代表一个整体功能,而二级指令代表整体功能下的分支功能。
图3‑53 攻击者下发的一级指令
攻击者通过C2服务器下发的指令及功能含义如表3-8所示:
一级指令 | 二级指令 | 具体功能 | 回传标识 | 标识含义 |
Wait | 无 | 等待C2下发命令 | Hi | 已接收到wait指令,等待后续指令。 |
CFEx | JE | 执行指定的可执行文件 | ExFl | 可执行文件执行失败 |
ExSu | 可执行文件执行成功 | |||
CFE | 检索指定的可执行文件 | FNoF | 没有检索到文件 | |
FiFo | 成功检索到文件 | |||
JD | 根据C2下发的URL下载可执行文件 | JuDo | 文件下载成功 | |
DowF | 文件下载失败 | |||
DE | 根据C2下发的URL下载可执行文件,并执行文件 | DnEx | 文件下载成功,且执行成功 | |
ExeF | 文件下载成功,但执行失败 | |||
DowF | 文件下载失败 | |||
DelF | 无 | 删除指定文件 | FiNF | 未找到文件 |
FiDS | 成功删除文件 | |||
FiDF | 完成删除操作 | |||
ReSh | 无 | 反弹Shell | BC | 成功连接C2,但C2未回复 |
UC | 连接C2失败 | |||
GetF | GetF | 获取文件 | Done | 文件上传完成 |
Send | 回传文件 | 无 | 无 | |
Skip | 跳过当前文件,即不上传 | 无 | 无 | |
Next | 跳过当前文件,即不上传。 | 无 | 无 | |
FeFi | 无 | 上传指定文件 | FNoF | 未检索到指定文件 |
FeFi | 文件读取成功,即将回传文件数据 | |||
AcDe | 文件读取失败 | |||
DWNL | DWNL | 接收C2下发的数据,并写入文件 | FNNR | 文件写入失败 |
DowF | 下载文件失败 | |||
JuDo | 只是下载文件 | |||
DWNE | 接收C2下发的数据,写入文件,并执行 | DnEx | 文件下载成功,且成功执行 | |
ExeF | 文件执行失败 | |||
LiFi | 无 | 休眠5分钟后,重新进入后门功能,接收新指令 | 无 | 无 |
Exit | 无 | 退出程序 | Exit | 成功退出 |
ReST | 无 | 退出程序 | ReST | 成功退出 |
3.2.4 下载器组件
JScript是微软的一种专门设计用于Web页面中的脚本语言。它坚持了ECMAScript标准并且主要是微软对应于Netscape早些出现并被广泛使用的JavaScript所出的一个语言。与其他许多编程语言一样, Microsoft JScript 是用文本方式编写的,并被组织成为语句、由相关的语句集组成的块、以及注释。
攻击者利用JScript语言编写的下载器组件,向目标机器植入C++启动器木马、VBS脚本以及综合窃密组件。
其完整执行流程如下图所示:
病毒名称 | Trojan[Downloader]/JScripts.Agent |
原始文件名 | 157720846 |
MD5 | 157C6E86D68D98F777D37C3753322F69 |
文件大小 | 2.41 KB (2,474 bytes) |
解释语言 | JScript |
VT首次上传时间 | 2022-04-08 16:09:11 +00:00 |
VT检测结果 | 10/58 |
表3‑10 C++启动器木马
病毒名称 | Trojan/Win32.Agent |
原始文件名 | jdsuifyiusdyf.txt |
MD5 | E05AF60FBB3EC9110ACBF38CD1071F52 |
处理器架构 | Intel 386 or later, and compatibles |
文件大小 | 111 KB (114,176 bytes) |
文件格式 | Win32 DLL |
时间戳 | 2022-04-01 12:51:45 +00:00 |
数字签名 | 无 |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++ v.7.10 - 14.27 |
安天CERT通过安天赛博超脑关联子系统对所捕获的样本进行拓线分析,发现本次捕获的C++后门木马可关联到攻击者多起以往的攻击活动。
在对关联出的攻击活动样本进行分析时,发现其中有多个样本为Confucius组织的DeMnu混淆器。DeMnu混淆器最早由友商奇安信于2020年9月份发布的《提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击》[5]报告中披露,“魔罗桫”为友商奇安信对Confucius组织的别称。
表4‑1 恶意载荷挂载链接对比
关联出的攻击活动 | 以往Confucius的攻击活动 |
http://wordupdate.net/micro/upload | http://wordupdate.com/refresh/content |
http://webinstaller.online/office/updates | http://wordupdate.com/recent/update |
https://webinstaller.online/temp/KB4783 | http://the-moondelight.96.lt/followup/update/KB756324 |
http://release.wordupdate.net/object/encode | http://recent.wordupdate.com/cloud/sync/upgrade |
表5‑1 恶意快捷方式样例
病毒名称 | Trojan[Downloader]/Win32.Agent.LNK |
原始文件名 | WhatsApp.jpeg.lnk |
MD5 | 931A598836097496F21443AE864D160B |
文件大小 | 2.07 KB (2,121 bytes) |
文件格式 | Windows shortcut |
创建时间 | 2021-01-02 03:07:30 +00:00 |
修改时间 | 2021-01-02 03:07:30 +00:00 |
VT上传时间 | 2022-02-03 15:21:42 +00:00 |
机器ID | user-pc |
后续,通过安天赛博超脑威胁情报分析子系统又关联到一批攻击者用来测试的恶意快捷方式样本,该批测试样本均由同一个上传者提交至VirusTotal平台。
对这批测试样本进行分析,可以发现攻击者大致在2021年8月份开始对恶意快捷方式样本进行测试,且早期恶意快捷方式主要通过CMD调用MSHTA执行远程HTA脚本文件,而后期则是直接使用MSHTA执行远程HTA脚本文件。
表5‑2 攻击者测试样本
MD5 | 文件名 | MachineID | 修改时间 | VT上传时间 |
5ACF14897F3EFFF3D60AEE7A76C4753D | WhatsApp.jpeg.lnk | user-pc | 2021-01-02 03:07:30 +00:00 | 2021-11-04 19:34:46 +00:00 |
34A84FA5EF9E5F388D7FEA9D91140FC5 | WhatsApp.lnk | user-pc | 2021-01-02 03:07:30 +00:00 | 2022-02-12 13:09:35 +00:00 |
62FE722B2BF323B318BA1D9C24FDEC51 | WhatsApp.lnk | desktop-41oq5ea | 2021-08-06 18:52:32 +00:00 | 2022-02-12 13:10:49 +00:00 |
CC53E7AEF38AC57499AEB0B1ED3909C9 | WhatsApp.lnk | desktop-41oq5ea | 2021-08-06 18:52:32 +00:00 | 2022-02-12 13:12:28 +00:00 |
4D12C03CE1F90E329F28CA194ABAB826 | WhatsApp.lnk | desktop-41oq5ea | 2021-08-06 18:52:32 +00:00 | 2022-02-12 13:14:29 +00:00 |
其实,各大印度APT组织之间互相共享代码、工具的情况已经屡见不鲜。例如,国外安全厂商趋势科技曾多次披露Confucius组织、Urpage组织以及白象组织之间存在共享代码、共享资产的关系[6]。
而今,从安天CERT又发现SideWinder组织与Confucius组织之间存在共享工具的情况,可以看出越来越多的印度APT攻击组织之间会进行工具、代码共享。
本次捕获的Confucius恶意LNK样本 | SideWinder组织使用的恶意LNK样本 | |
MD5 | 931A598836097496F21443AE864D160B | DCFC26743D5E2897112626F67612067D |
文件名 | WhatsApp.jpeg.lnk | luckydrawaugust2021.pdf.lnk |
机器名 | user-pc | user-pc |
本地基本路径 | C:\Windows\System32\hsmta.exe | C:\Windows\System32\hsmta.exe |
相对路径 | ..\..\..\..\Windows\System32\mshta.exe | ..\..\..\Windows\System32\hsmta.exe |
命令行参数 | https://t7g5c.app.link/qweqweqw | https://luckydraw.csd-pk.co/137/1/39/2/0/0/1812896830/tFUcuCDhCs3bJtZXyEgIY7JY0qsxlMwpueTIpHSV/files-0909d81c/hta |
创建时间 | 2021-01-02 03:07:30 +00:00 | 2021-01-02 03:07:30 +00:00 |
修改时间 | 2021-01-02 03:07:30 +00:00 | 2021-01-02 03:07:30 +00:00 |
访问时间 | 2021-01-02 03:07:30 +00:00 | 2021-01-02 03:07:30 +00:00 |
磁盘驱动器标识符 | 29ebe0d2-885f-4b6f-9277-80f9904dafe4 | 29ebe0d2-885f-4b6f-9277-80f9904dafe4 |
本次系列攻击活动共涉及ATT&CK框架中12个阶段的27个技术点,具体行为描述如下表:
ATT&CK阶段 | 具体行为 | 注释 |
侦察 | 搜集受害者身份信息 | 收集目标邮箱账号信息,以供后续钓鱼攻击定向投递邮件使用 |
搜索受害者自有网站 | 搜索目标官方网站,以供后续钓鱼攻击搭建仿冒网站使用 | |
资源开发 | 获取基础设施 | 购买服务器,用作钓鱼网站、挂载服务器、C2服务器等用途 |
初始访问 | 网络钓鱼 | 向目标投递携带恶意链接的鱼叉式钓鱼电子邮件 |
执行 | 利用命令和脚本解释器 | 使用PowerShell加载恶意载荷、使用JScript语言编写的下载者木马 |
利用计划任务/工作 | 使用Windows 任务计划程序来定时执行C#窃密木马、C++后门木马 | |
诱导用户执行 | 使用具有诱惑内容的恶意宏文档,诱导目标执行 | |
持久化 | 利用计划任务/工作 | 使用Windows 任务计划程序来定时执行C#窃密木马、C++后门木马 |
利用自动启动执行引导或登录 | 使用注册表运行键来执行C++后门木马 | |
防御规避 | 混淆文件或信息 | 使用经过Eziriz .NET Reactor混淆器混淆的QuasarRAT |
执行签名的二进制文件代理 | 使用系统工具Rundll32执行C++后门木马、使用系统工具Mshta执行恶意HTA文件 | |
凭证访问 | 从存储密码的位置获取凭证 | 使用C#窃密木马、C++后门木马窃取目标密码文件 |
输入捕捉 | 使用击键窃密木马会收集目标的击键行为可供获取凭证 | |
发现 | 发现进程 | 使用C++后门木马获取目标当前正在运行的进程信息 |
发现文件和目录 | 使用C#窃密木马、C++后门木马获取目标文件和目录信息 | |
发现网络共享 | 使用C++后门木马获取目标共享的文件夹和驱动器 | |
查询注册表 | 使用C++后门木马查询目标注册表信息 | |
发现软件 | 使用C++后门木马获取目标安装软件信息 | |
发现系统信息 | 使用C++后门木马获取目标系统信息 | |
发现系统网络配置 | 使用C++后门木马获取目标系统网络配置信息 | |
横向移动 | 横向传输文件或工具 | 猜测攻击者后续会利用渗透工具在内网进行横向移动 |
收集 | 自动收集 | 使用C#窃密木马、C++后门木马自动收集目标文件信息 |
输入捕捉 | 使用击键窃密木马会收集宿主机的击键行为 | |
收集可移动介质数据 | 使用C#窃密木马、C++后门木马收集目标可移动介质数据 | |
命令与控制 | 使用应用层协议 | C#下载者木马、C#窃密木马使用如HTTP/HTTPS等应用层协议 |
数据渗出 | 自动渗出数据 | 本次活动大多工具皆自动向外传输窃取的数据 |
限制传输数据大小 | 使用的C++后门木马上传文件时,将每次上传的大小限制在1个字节 |
附录一:部分IOC
部分 MD5 |
021C535B8E70E9EFA74512DB647EF011 |
04F9B8DDD038E3D3DA3AB54AEBE73687 |
06B5A67BF37FED5B92C2211F342D7F0A |
08B9C6AEFF78A30BE44694BB650EC198 |
0A1C6D9CD67172995D22FA54946662F0 |
15AE0E6E5B449797F4080E1E9A1ECC3F |
17CB582F64A32C584DF68AEEF23E25F6 |
3DA30534B377B01CCAA3BF25F93AF1BA |
3E3EC6645D75ED83C0C57E3151917B96 |
3FCFE20A4D3C5CD07944328DF25C81C2 |
457101EA5C30C53F9381D7E9AA6432A4 |
46417AD0FC33783C298B7441ACED2C1A |
78EA0072E01F9BEC53D414C2CAD7C497 |
84D68E7B3AACF245D0C60F94A8D0AC4A |
8736492918F8836D13DEFC6525540610 |
9120216CAE280E802FA22AB29A346119 |
92A0947B1A2CB8CFD645ED585E2001D1 |
A52E4EEB2BF7F1BFDAC3E3C0673ECE5F |
A8169881B8552852F0D117FDD743F5E0 |
B426CE9179226681043CE8ED3ABCA862 |
BDF4DEF26EFBF676BB020B4BE49F9011 |
BEC908D62554CD16BD857A692BEF6FC6 |
C004DC680A8B74B3C99137A73AFE46D7 |
C676EB09E74308A879658FDA6FCB74FC |
C7E1B92397E1C563E9FAA222CBF39BE7 |
DEF6F71E3A21F99F9494A4CB1D8D4279 |
E05AF60FBB3EC9110ACBF38CD1071F52 |
F6DE9D853EF1B802FC1EF34BD0787ABA |
FFCEF12B4AB6DE46454D9AFA1E55379E |
部分 URL |
http://185.203.*.42/uphta/z.vbs |
http://classcentral-*.ddns.net/TNC/Class_Central.zip |
http://dump*ngs.ml/Jdsuifyiusdyf.txt |
http://dump*ngs.ml/Kewiuryjd.txt |
http://dump*ngs.ml/ZeroToleranceMonth.jpg |
http://fil*oni.digital/HprodXprnvlm1.php |
http://fil*oni.digital/VueWsxpogcjwq1.php |
http://fu*tifu.live/ksjdSudh/hsfuYNm.txt |
http://msd*igns.site/google/goopdate.dll |
http://office*oud.store/update.dotm |
http://pirna*m.xyz/Bdsfunklo.php |
http://pirna*m.xyz/Vksufnduw.php |
http://pirna*m.xyz/YblSNyirp/ |
http://release.word*date.net/object/encode |
http://thak*aiya.xyz/Bdsfunklo.php |
http://thak*aiya.xyz/SuMkdsfui.php |
http://thak*aiya.xyz/Vksufnduw.php |
http://webi*taller.online/V6.exe |
http://webi*taller.online/office/updates |
http://word*date.net/micro/upload |
http://word*date.net/wordpress |
https://www.fbr-no*ce.com/iris/file.php?file=FBR |
https://t7g*c.app.link/Kit8V9GsIqb |
https://t7g*c.app.link/RKQX1PtSJqb |
https://t7g*c.app.link/qweqweqw |
部分 Domain |
classcentral-*.ddns.net |
dump*ngs.ml |
fil*oni.digital |
fu*tifu.live |
msd*igns.site |
office*oud.store |
pirna*m.xyz |
release.word*date.net |
thak*aiya.xyz |
webi*taller.online |
word*date.net |
fbr-no*ce.com |
t7g*c.app.link |
附录二:参考资料
[1] Palo Alto Networks:Confucius Says...Malware Families Get Further By Abusing Legitimate Websites
https://unit42.paloaltonetworks.com/unit42-confucius-says-malware-families-get-further-by-abusing-legitimate-websites/
https://download1.fbr.gov.pk/Docs/202242912443472AdvisoryNo13-2022.pdf
https://download1.fbr.gov.pk/Docs/20226271462135426Advisoryno21-2022.pdf
https://baike.baidu.com/item/%E6%B7%B1%E5%B1%82%E9%93%BE%E6%8E%A5/8441834?fr=aladdin
https://www.first.org/resources/papers/tallinn2019/Linking_South_Asian_cyber_espionnage_groups-to-publish.pdf