据三六零(601360)消息,近期,360安全大脑监测到境外APT组织APT-C-08(蔓灵花)发起多起网络攻击。该组织通过投递由NUITKA打包的Python可执行文件或CHM文件,诱导用户点击,进而下载后续后门组件,对目标系统实施控制与窃密。
一、攻击活动分析
1. 攻击流程分析
攻击初始载荷为NUITKA打包的Python样本,其核心功能是连接C2服务器(89.46.236.152:443)并接收指令。攻击者通过远程执行CMD命令,实现获取系统信息、下载后续组件、配置持久化等操作。
2. 恶意载荷分析
捕获的初始样本“delivery_of_the_aviation_technical_equipment.exe”为使用Python 3.12版本NUITKA打包的可执行文件。样本执行后,会根据C2指令执行五类操作:
第一类:获取系统信息。
第二类:下载后续组件,例如从特定URL下载taskhost.exe并保存。
第三类:通过certutil进行文件复制。
第四类:配置计划任务、启动项等实现持久化。
第五类:解压并使用组件,如下载并安装Python 3.12环境。
3. 攻击组件分析
· shell后门组件
组件taskhost.exe连接C2(213.111.185.78:443),执行并回传CMD指令结果。捕获的攻击者指令包括:设置持久化、查看系统信息、下载其他后门(如crsrs.exe)、静默安装Python环境以下载执行脚本、以及下载Remcos后门。
· 文件窃密组件
组件crsrs.exe用于监测存储设备变更,并将含有关键词的文件数据加密传输至C2服务器(https://151.236.4.164:5010)。
· Remcos后门
组件imagingdevices.exe是一个加载器,用于解密并释放Remcos远控木马,其C2地址为89.31.121.220:443。
二、归属研判
通过代码对比分析发现,本次攻击使用的relish_for_ketty.dll与历史针对巴基斯坦的样本高度一致,且使用的Remcos组件也曾出现在针对该地区的攻击中。综合研判,此次攻击归属于长期活跃于南亚方向的APT-C-08(蔓灵花)组织。
总结
蔓灵花组织是持续威胁南亚及周边地区的高能力境外APT组织。用户应加强安全意识,切勿执行未知文件或点击可疑链接,以防系统被入侵导致信息泄露。
附录IOC
MD5:
397591dd098f9240684f9a999e38eb12
23F5(FFIV)e51bf6d540553aa88c48480450a8
d286d439393bde76b734bd3406628d47
017eb0e90e70a48e3b57f9c315e280F5(FFIV)
C2&URL:
89.46.236.152:443
213.111.185.78:443
https://151.236.4.164:5010
89.31.121.220:443
(其他相关URL详见原文)
