本帖最后由 wywt123 于 2025-3-8 20:50 编辑
GitHub 活动和重定向链 自 2024 年 12 月初以来,多个主机从恶意的 GitHub 仓库下载了第一阶段的载荷。用户通过一系列重定向被引导至 GitHub。对重定向链的分析表明,攻击很可能源自非法流媒体网站,这些网站允许用户观看盗版视频。这些流媒体网站在电影画面中嵌入了恶意广告重定向器,以从恶意广告平台获取按次付费或按点击付费的收入。这些重定向器随后通过一两个额外的恶意重定向器引导流量,最终将用户导向另一个网站,例如恶意软件或技术支持诈骗网站,然后再将用户重定向到 GitHub。 此次攻击活动中部署了多个阶段的恶意软件,具体如下。不同阶段的活动取决于第二阶段释放的载荷。 - 托管在 GitHub 上的第一阶段载荷是下一阶段载荷的释放器。
- 第二阶段文件用于进行系统发现,并将系统信息以 Base64 编码形式嵌入 URL 中,通过 HTTP 发送至一个 IP 地址。收集的信息包括内存大小、图形细节、屏幕分辨率、操作系统(OS)以及用户路径等数据。
- 根据第二阶段的载荷,部署了各种第三阶段的载荷。通常,第三阶段的载荷会执行额外的恶意活动,如命令与控制(C2)以下载更多文件并窃取数据,以及使用防御规避技术。
- 完整重定向链由四到五层组成。微软研究人员确定恶意广告重定向器被包含在非法流媒体网站的 iframe 中。
图 1. 流媒体视频网站代码及 iframe 显示的恶意广告重定向 URL
在到达存储在 GitHub 上的恶意内容之前,发生了多次重定向。 
图 2. 盗版流媒体网站到 GitHub 上恶意软件文件的重定向链
一旦重定向到 GitHub,托管在 GitHub 上的恶意软件便在用户设备上建立了初步立足点,并充当了投放更多载荷阶段及运行恶意代码的释放器。这些额外载荷包含信息窃取程序,用于收集受感染设备上的系统及浏览器信息,其中大部分为 Lumma 窃取器或 Doenerium 的更新版本。根据初始载荷的不同,NetSupport——一款远程监控与管理(RMM)软件,也常与信息窃取器一同部署。除了信息窃取器外,PowerShell、JavaScript、VBScript 及 AutoIT 脚本也在主机上运行。攻击者还利用了本地系统二进制文件及脚本(LOLBAS),如 PowerShell.exe、MSBuild.exe 和 RegAsm.exe,用于 C2 通信以及窃取用户数据和浏览器凭证。 在初步入侵成功后,攻击者通过模块化和分阶段的方式,逐步完成载荷的传递、执行以及持久驻留。每个阶段都会释放具有不同功能的另一个载荷,如下所述。这些阶段中进行的操作包括系统发现(内存、GPU、操作系统、已登录用户等)、打开浏览器凭证文件、数据保护 API(DPAPI)加密数据调用,以及其他功能,如执行混淆脚本和创建命名管道以进行数据外传。持久化通过修改注册表运行键和向 Windows 启动文件夹添加快捷方式文件来实现。 观察到了多个恶意活动的阶段,包括部署额外的恶意软件、收集数据以及将数据外传到 C2 服务器。尽管并非每个初始载荷都完全遵循这些步骤,但这反映了大多数分析事件中的总体情况: 
图 3. 四个阶段的总体描述
第一阶段的载荷:在目标主机上建立初步立足点在第一阶段,攻击者通过托管在 GitHub 上的二进制文件将载荷投放到用户的设备上,从而在该设备上建立初步控制。截至 2025 年 1 月中旬,发现的第一阶段载荷均使用新创建的证书进行了数字签名。共识别出十二个不同的证书,但所有这些证书目前已被撤销。 大多数初始载荷会释放以下合法文件以利用其功能。这些文件可能被第一阶段载荷或后续阶段的载荷使用,具体取决于执行的操作。 | 文件名 | 功能 | | app-64.7z | 这是一个压缩文件,用于存储第二阶段的载荷以及其他被释出的文件。 | | app.asar | 这是一个专为 Electron 应用程序设计的存档文件,这些应用程序是直接安装的程序。 | | d3dcompiler_47.dll | 该文件通常包含在 DirectX 可再发行组件中,这些组件通常与 Microsoft 的游戏和图形应用程序安装程序一起提供。 | | elevate.exe | 该文件被多个安装程序和脚本用于以提升的权限运行进程,不仅限于微软。 | | ffmpeg.dll | 该文件与 FFmpeg 相关,FFmpeg 是一个广泛使用的多媒体框架,用于处理视频、音频及其他多媒体文件和流。 | | libEGL.dll | 该文件属于 ANGLE 项目的一部分,该项目常见于使用 OpenGL 嵌入式系统(ES)的应用程序中,例如某些网页浏览器和游戏。 | | libEGLESv2.dll | 该文件属于 ANGLE 项目的一部分,该项目常见于使用 OpenGL ES 的应用程序中,例如某些网页浏览器和游戏。 | | LICENSES.chromium.html | 该文件可能包含系统或浏览器的相关信息。 | | nsis7z.dll | 该文件与 Nullsoft 可脚本化安装系统(NSIS)的插件相关,NSIS 用于创建各种软件的安装程序。 | | StdUtils.dll | 该文件与 NSIS 的插件相关。 | | System.dll | 该文件是 .NET Framework 程序集的一部分,通常包含在 Microsoft 的安装程序中,供依赖 .NET Framework 的应用程序使用。 | | vk_swiftshader.dll | 该文件与 SwiftShader 相关,SwiftShader 用于需要基于 CPU 实现 Vulkan API 的应用程序中。 | | vulkan-1.dll | 该文件与使用 Vulkan 图形 API 的应用程序(如游戏和图形软件)相关联。 |
根据最初在受感染设备上建立的第一阶段载荷,微软发现了多种不同的第二阶段载荷,以及将这些载荷传送到设备上的多种方法。
第二阶段的载荷:系统探测、数据收集以及外传
第二阶段载荷的主要任务是进行系统探测,并收集相关数据以供外传到 C2 服务器。收集的系统信息包括内存容量、显卡详情、屏幕分辨率、操作系统、用户路径以及第二阶段载荷文件名的引用。 这是通过查询注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName 来获取 Windows 操作系统版本,并运行命令(如 echo 命令)来收集设备的名称(%COMPUTERNAME%)和域名(%USERDOMAIN%)来实现的。 第二阶段载荷收集的系统数据经过 Base64 编码后,通过查询参数发送至一个 IP 地址。 
图 4. 从受感染设备收集信息时观察到的典型 URL 格式
第三阶段载荷:PowerShell 和 .exe 可执行文件根据第二阶段载荷的不同,可能会将一个或多个可执行文件释放到受感染的设备上,有时还会附带一个经过编码的 PowerShell 脚本。这些文件启动了一系列事件,执行命令、投递载荷、规避防御、保持持久性、进行 C2 通信以及数据外传。接下来,我们将首先分析这些投放的可执行文件,然后回顾观察到的 PowerShell 脚本。
第三阶段 .exe 分析第二阶段载荷使用命令提示符运行被释放的第三阶段可执行文件(例如,cmd.exe /d /s /c “”C:\Users\<user>\AppData\Local\Temp\ApproachAllan.exe””)。/c 标志确保命令快速运行并退出。当第三阶段的 .exe 运行时,它会释放一个命令文件(.cmd)并使用命令提示符启动它(例如,“cmd.exe” /c copy Beauty Beauty.cmd && Beauty.cmd)。.cmd 文件执行多项操作,例如运行 tasklist 以启动对正在运行程序的发现。随后使用 findstr 搜索与安全软件相关的关键字:
| findstr 关键字 | 相关软件 | | wrsa | Webroot SecureAnywhere | | opssvc | Quick Heal | | AvastUI | Avast Antivirus | | AVGUI | AVG Antivirus | | bdservicehost | Bitdefender Antivirus | | nsWscSvc | Norton Security | | ekrn | ESET | | SophosHealth | Sophos |
.cmd 文件还将多个文件拼接成一个具有单字符文件名的文件:“cmd /c copy /b ..\Verzeichnis + ..\Controlling + ..\Constitute + ..\Enjoyed + ..\Confusion + ..\Min +..\Statutory J”。接下来将使用这个单字符文件名的文件。 此后,第三阶段的.exe 生成一个 AutoIT v3 解释器文件,该文件从典型的 AutoIt3.exe 文件名重命名,并使用.com 作为文件扩展名。.cmd 文件启动针对单字符二进制文件(如 Briefly.com J)的.com 文件执行。注意,大多数第二阶段的载荷遵循此进程链,并且如前所述,第二阶段的载荷也可以释放多个可执行文件,所有这些都遵循相同的过程。例如: 第一阶段第二阶段
第三阶段
- EverybodyViewing.exe
- ReliefOrganizational.exe
- InflationWinston.exe
第三阶段指令文件
- Beauty.cmd
- Possess.cmd
- Villa.cmd
- Alexandria.com
- Kills.com
- Briefly.com
我们观察到多个.com 文件来自不同的被释出的可执行文件,每个文件执行不同的功能,偶尔在行为上有重叠。这些文件通过多种机制实现持久性、进程注入、远程调试和数据外传。例如,Alexandria.com 这个.com 文件会释放一个.scr 文件(另一个重命名的 AutoIT 解释器)和一个与.scr 文件同名的.js(JavaScript)文件。JavaScript 文件的目的是通过在启动文件夹中创建一个指向该 JavaScript 文件的.url 互联网快捷方式,确保在用户登录时通过 Wscript.exe 执行.js 文件时,同时执行.scr 文件,从而实现持久化。此外,也可以通过创建计划任务来实现持久化。 .scr 文件能够启动 C2 连接,在隐藏的桌面会话中启用 Chrome 或 Edge 的远程调试功能,或在 9220-9229 端口上创建 TCP 监听套接字。这一功能使得攻击者能够监控浏览活动并与正在运行的浏览器实例进行交互。此外,这些文件还能打开敏感数据文件,显示出它们在后期利用活动中的重要作用。 另一个 .com 文件,例如 affiliated.com,同样专注于远程调试和浏览器监控。除了远程监控,affiliated.com 还会与 Telegram、Let's Encrypt 以及威胁行为者的域名建立网络连接,可能是为了进行命令与控制(C2)或数据外传。此外,它还通过访问 DPAPI 来解密存储的敏感凭据并获取浏览器数据。 最后观察到的.com 文件,例如 Briefly.com,其行为与 affiliated.com 相似,但功能更为强大,包括截图捕获、数据外传和基于 PowerShell 的执行。该文件通过访问浏览器和用户数据进行收集,连接至 Pastebin 及其他 C2 域名,并投放第四阶段的 PowerShell 脚本。 这些.com 文件的运行顺序并没有严格的规定,因为一个或多个文件可以根据第三阶段的载荷执行重叠的功能。在许多情况下,.com 文件还会利用 LOLBAS(如 RegAsm.exe),通过将合法文件放入%TEMP%目录,或者使用 NtAllocateVirtualMemory 和 SetThreadContext API 函数调用将恶意代码注入其中。RegAsm.exe 用于通过 TCP 端口 15647 或 9000 建立 C2 连接,窃取数据,访问 DPAPI 进行解密,并使用 WH_KEYBOARD_LL 钩子监控键盘输入等。这种执行的灵活性使得攻击者能够根据环境因素(如安全配置和用户活动)来调整他们的攻击策略。
被访问的浏览器数据文件:- \AppData\Roaming\Mozilla\Firefox\Profiles\<user profile uid>.default-release\cookies.sqlite
- \AppData\Roaming\Mozilla\Firefox\Profiles\<user profile uid>.default-release\formhistory.sqlite
- \AppData\Roaming\Mozilla\Firefox\Profiles\<user profile uid>.default-release\key4.db
- \AppData\Roaming\Mozilla\Firefox\Profiles\<user profile uid>.default-release\logins.json
- \AppData\Local\Google\Chrome\User Data\Default\Web Data
- \AppData\Local\Google\Chrome\User Data\Default\Login Data
- \AppData\Local\Microsoft\Edge\User Data\Default\Login Data
被访问的用户数据文件路径:
- C:\\Users\<user>\\OneDrive
- C:\\Users\<user>\\Documents
- C:\\Users\<user>\\Downloads
第三阶段的 PowerShell 分析
如果第二阶段的载荷还释放了一个 PowerShell 脚本,该脚本包含经过 Base64 混淆的命令,用于执行各种操作,例如使用 curl 从 C2 服务器下载 NetSupport 等附加文件,为 NetSupport RAT 创建持久化,并将系统信息外传到 C2 服务器。为了避免在受感染的设备上显示错误或进度条,通常在使用 curl 从 C2 下载文件时会添加--silent 选项。此外,PowerShell 通常配置为使用-ExecutionPolicy Bypass 参数,以便无限制地运行。 例如,在某些事件中,当第二阶段的载荷运行时,会释放并执行一个 PowerShell 脚本。该脚本会将受感染设备的名称发送到 C2 服务器,并从同一 C2 服务器下载 NetSupport RAT。
- 第二阶段载荷:Squarel.exe
- PowerShell 脚本的 SHA-256:d70ccae7914fc8c36c9e11b2a7f10bebd7f5696e78d8836554f4990b0f688dbb
- C2 域名:keikochio[.]com
- NetSupport RAT: SHA-256: 32a828e2060e92b799829a12e3e87730e9a88ecfa65a4fc4700bdcc57a52d995
在另一个案例中,第二阶段的载荷释放了一个 PowerShell 脚本,该脚本连接到 hxxps://ipinfo[.]io 以获取受感染设备的公网 IP 地址。这些信息被发送到一个 Telegram 聊天中,随后将 presentationhost.exe(一个重命名的 NetSupport 二进制文件)和 remcmdstub.exe(NetSupport 命令管理器)释放到%TEMP%目录中。最后,PowerShell 脚本通过将其添加到自动启动扩展点(ASEP)注册表项中,为 presentationhost.exe 建立持久化。运行时,NetSupport RAT 会连接到 C2 服务器并捕获受感染设备的桌面截图。此外,它还释放了一个 Lumma 可执行文件,该文件会释放一个同名的 VBScript 文件。 VBScript 文件通过运行编码的 PowerShell 启动 C2 连接,并启动 MSBuild.exe 以在隐藏桌面上启用 Chrome 远程调试。此外,presentationhost.exe 会启动 remcmdstub.exe,该程序利用 iScrPaint.exe(iTop 屏幕录制器)运行 MSBuild.exe 并访问浏览器凭据文件以进行数据外传。iScrPaint.exe 文件还在 Windows 启动文件夹中放置.lnk 快捷方式,确保在系统重启时自动运行,从而实现持久化。
- 第二阶段载荷:Application.exe
- PowerShell 脚本的 SHA-256:483796a64f004a684a7bc20c1ddd5c671b41a808bc77634112e1703052666a64
- C2: hxxp://5.10.250[.]240/fakeurl.htm
最后观察到的第三阶段 PowerShell 脚本由三个第二阶段的载荷投放。该脚本将受感染设备的名称发送到 C2 服务器。随后,它将工作目录更改为$env:APPDATA,并使用 Start-BitsTransfer 从 C2 服务器下载 NetSupport。为了规避检测,它强制使用 TLS1.2 进行加密的 C2 通信,并修改了系统安全设置。这些文件被提取到 AppData 下新创建的 WinLibraryClient 目录中,并随后启动。该脚本通过修改 ASEP 注册表为 client32.exe(NetSupport RAT)建立持久化。Client32.exe 会启动与 hxxp://79.132.128[.]77/fakeurl.htm 的 C2 连接。
- 第二阶段的载荷包括:SalmonSamurai.exe、LakerBaker.exe 和 DisplayPhotoViewer.exe
- PowerShell 脚本的 SHA-256: 670218cfc5c16d06762b6bc74cda4902087d812e72c52d6b9077c4c4164856b6
- C2 域名:stocktemplates[.]net
此外,观察到的行为包括对 HKCU:\Software\Microsoft\Windows\CurrentVersion\Uninstall\进行注册表枚举,以识别已安装的应用程序和安全软件。该行为还通过 Windows 管理工具(WMI)查询系统的域状态,并扫描加密货币钱包,如 Ledger Live、Trezor Suite、KeepKey、BCVault、OneKey 和 BitBox,这表明可能存在财务数据盗窃的风险。
第四阶段的 PowerShell 分析
根据运行的.com 文件(例如 Briefly.com),重命名后的 AutoIT 文件可能会释放一个 PowerShell 脚本(SHA-256:2a29c9904d1860ea3177da7553c8b1bf1944566e5bc1e71340d9e0ff079f0bd3)。经过混淆处理的 PowerShell 代码使用 Add-MpPreference cmdlet 来修改 Microsoft Defender,添加排除路径,从而避免扫描指定的文件夹。
图 5. 反混淆后的命令,用于向 Windows Defender 添加排除路径
上述脚本有时会附带一个 Base64 编码的 PowerShell 命令实例。这些 PowerShell 命令会执行以下操作: - 向 hxxps://360[.]net 发送网络请求随后关闭响应。
- 向 hxxps://baidu[.]com 发送网络请求随后关闭响应。
- 使用网络客户端从 hxxps://klipcatepiu0[.]shop/int_clp_sha.txt 下载数据。
- 将下载的数据写入内存流,并保存为名为 null.zip 的文件(SHA-256:f07b8e5622598c228bfc9bff50838a3c4fffd88c436a7ef77e6214a40b0a2bae),存储在 C:\Users\<Username>\AppData\Local\Temp 目录下。
入侵指标(IoCs)
含有恶意 iframe 的流媒体网站域名
| 指标 | 类型 | | movies7[.]net | 域名 | | 0123movie[.]art | 域名 |
恶意 iframe 重定向域名
| 指标 | 类型 | | fle-rvd0i9o8-moo[.]com | 域名 | | 0cbcq8mu[.]com | 域名 |
恶意广告传播者
| 指标 | 类型 | | widiaoexhe[.]top | 域名 |
恶意广告网站域名
| 指标 | 类型 | | widiaoexhe[.]top | 域名 | | predictivdisplay[.]com | 域名 | | buzzonclick[.]com | 域名 | | pulseadnetwork[.]com | 域名 | | onclickalgo[.]com | 域名 | | liveadexchanger[.]com | 域名 | | greatdexchange[.]com | 域名 | | dexpredict[.]com | 域名 | | onclickperformance[.]com | 域名 |
GitHub 来源网址
| 指标 | 类型 | | hxxps://pmpdm[.]com/webcheck35/ | URL | | hxxps://startherehosting[.]net/todaypage/ | URL | | hxxps://kassalias[.]com/pageagain/ | URL | | hxxps://sacpools[.]com/pratespage/ | URL | | hxxps://dreamstorycards[.]com/amzpage/ | URL | | hxxps://primetimeessentials[.]com/newpagyes/ | URL | | hxxps://razorskigrips[.]com/perfect/ | URL | | hxxps://lakeplacidluxuryhomes[.]com/webpage37 | URL | | hxxps://ageless-skincare[.]com/gn/ | URL | | hxxps://clarebrownmusic[.]com/goodday/ | URL | | hxxps://razorskigrips[.]com/gn/ | URL | | hxxps://compass-point-yachts[.]com/nicepage77/pro77.php | URL | | hxxps://razorskigrips[.]com/goodk/ | URL | | hxxps://lilharts[.]com/propage6/ | URL | | hxxps://enricoborino[.]com/propage66/ | URL | | hxxps://afterpm[.]com/pricedpage/ | URL | | hxxps://eaholloway[.]com/updatepage333/ | URL | | hxxps://physicaltherapytustin[.]com/webhtml/ | URL | | hxxps://physicaltherapytustin[.]com/web-X/ | URL | | hxxps://razorskigrips[.]com/newnewpage/ | URL | | hxxps://statsace[.]com/web_us/ | URL | | hxxps://vjav[.]com/ | URL | | hxxps://nationpains[.]com/safeweb3/ | URL | | hxxps://thegay[.]com/ | URL | | hxxps://olopruy[.]com/ | URL | | hxxps://desi-porn[.]tube/ | URL | | hxxps://cumpaicizewoa[.]net/partitial/ | URL | | hxxps://ak.ptailadsol[.]net/partitial/ | URL | | hxxps://egrowz[.]com/webview/ | URL | | hxxps://or-ipo[.]com/nice/ | URL |
GitHub 链接
| 指标 | 类型 | | hxxps://github[.]com/down4up/ | URL | | hxxps://github[.]com/g1lsetup/iln77 | URL | | hxxps://github[.]com/g1lsetup/v2025 | URL | | hxxps://github[.]com/git2312now/DownNew152/ | URL | | hxxps://github[.]com/muhammadshahblis/ | URL | | hxxps://github[.]com/Jimelecar | URL | | hxxps://github[.]com/kloserw | URL | | hxxps://github[.]com/kopersparan/ | URL | | hxxps://github[.]com/zotokilowa | URL | | hxxps://github[.]com/colvfile/bmx84542 | URL | | hxxps://github[.]com/colvfile/yesyes333 | URL | | hxxps://github[.]com/mp3andmovies/ | URL | | hxxps://github[.]com/anatfile/newl | URL | | hxxps://github[.]com/downloadprov/www | URL | | hxxps://github[.]com/abdfilesup/readyyes | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/898537481 | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/898072392/ | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/902107140 | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/902405338 | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/901430321/ | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/903047306/ | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/899121225 | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/899472962/ | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/900979287/ | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/901553970 | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/901617842/ | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/897657726 | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/903499100/ | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/903509708/ | URL | | hxxps://objects.githubusercontent[.]com/github-production-release-asset-2e65be/915668132/ | URL |
DropBox 链接
| 指标 | 类型 | | hxxps://uc8ce1a0cf2efa109cd4540c0c22.dl.dropboxusercontent[.]com/cd/0/get/CgHUWBzFWtX1ZE6CwwKXVb1EvW4tnDYYhbX8Iqj70VZ5e2uwYlkAq6V-xQcjX0NMjbOJrN3_FjuanOjW66WdjPHNw2ptSNdXZi4Sey6511OjeNGuzMwxtagHQe5qFOFpY2xyt1sWeMfLwwHkvGGFzcKY/file?dl=1# | URL |
Discord 链接
| 指标 | 类型 | | hxxps://cdn.discordapp[.]com/attachments/1316109420995809283/1316112071376769165/NativeApp_G4QLIQRa.exe | URL |
第一阶段 GitHub 托管的载荷
| 文件名 | SHA-256 | | NanoPhanoTool.exe | cd207b81505f13d46d94b08fb5130ddae52bd1748856e6b474688e590933a718 | | Squarel_JhZjXa.exe | b87ff3da811a598c284997222e0b5a9b60b7f79206f8d795781db7b2abd41439 | | PriceApp_1jth1MMk.exe | ef2d8f433a896575442c13614157261b32dd4b2a1210aca3be601d301feb1fef | | Paranoide.exe | 5550ea265b105b843f6b094979bfa0d04e1ee2d1607b2e0d210cd0dea8aab942 | | AliasApp.exe | 0c2d5b2a88a703df4392e060a7fb8f06085ca3e88b0552f7a6a9d9ef8afdda03 | | X-essentiApp.exe | d8ae7fbb8db3b027a832be6f1acc44c7f5aebfdcb306cd297f7c30f1594d9c45 | | QilawatProtone.exe | 823d37f852a655088bb4a81d2f3a8bfd18ea4f31e7117e5713aeb9e0443ccd99 | | ElectronApp.exe | 588071382ac2bbff6608c5e7f380c8f85cdd9e6df172c5edbdfdb42eb74367dc | | NativeApp_dRRgoZqi.exe | dd8ce4a2fdf4af4d3fc4df88ac867efb49276acdcacaecb0c91e99110477dbf2 | | NativeApp_G5L1NHZZ.exe | 380920dfcdec5d7704ad1af1ce35feba7c3af1b68ffa4588b734647f28eeabb7 | | NativeApp_86hwwNjq.exe | 96cc7c9fc7ffbda89c920b2920327a62a09f8cb4fcf400bbfb02de82cdd8dba1 | | NativeApp_01C02RhQ.exe | 800c5cd5ec75d552f00d0aca42bdade317f12aa797103b9357d44962e8bcd37a | | App_aeIGCY3g.exe | afdc1a1e1e934f18be28465315704a12b2cd43c186fbee94f7464392849a5ad0 | | Pictore.exe | de6fcdf58b22a51d26eacb0e2c992d9a894c1894b3c8d70f4db80044dacb7430 | | ScenarioIT.exe | f677be06af71f81c93b173bdcb0488db637d91f0d614df644ebed94bf48e6541 | | CiscoProton.exe | 7b88f805ed46f4bfc3aa58ef94d980ff57f6c09b86c14afa750fc41d32b7ada8 | | Alarmer.exe | dc8e5cae55181833fa9f3dd0f9af37a2112620fd47b22e2fd9b4a1b05c68620f | | AevellaAi.2.exe | 3e8ef8ab691f2d5b820aa7ac805044e5c945d8adcfc51ee79d875e169f925455 | | avs.exe | d2e9362ae88a795e6652d65b9ae89d8ff5bdebbfec8692b8358aa182bc8ce7a4 | | mrg.exe | 113290aaa5c0b0793d50de6819f2b2eead5e321e9300d91b9a36d62ba8e5bbc1 | | mrg.exe | 732b4874ac1a1d4326fc1d71d16910fce2835ceb87e76ad4ef2e40b1e948a6cc | | Application.exe | aea0892bf9a533d75256212b4f6eaede2c4c9e47f0725fc3c61730ccfba25ec8 | | Application.exe | ea2e21d0c09662a0f9b42d95ce706b5ed26634f20b9b5027ec681635a4072453 | | SalmonSamurai.exe | 83679dfd6331a0a0d829c0f3aed5112b69a7024ff1ceebf7179ba5c2b4d21fc5 | | Arendada.exe | 47ef2b7e8f35167fab1ecdd5ddb73d41e40e6a126f4da7540c1c0394195cb3df | | Arduino.exe | 92d457b286fb63d2f5ec9413fd234643448c5f8d2c0763e43ed5cf27ab47eb02 | | SecondS.exe | 9d5c551f076449af0dbd7e05e1c2e439d6f6335b3dd07a8fa1b819c250327f39 | | ultraedit.msi | 0e20bea91c3b70259a7b6eef3bff614ce9b6df25e078bc470bfef9489c9c76e6 |
第一阶段由 Dropbox 托管的载荷
| 文件名 | SHA-256 | | App_File-x38.3.exe | c0bc1227bdc56fa601c1c5c0527a100d7c251966e40b2a5fa89b39a2197dda67 |
第一阶段由 Discord 托管的载荷
| 文件名 | SHA-256 | | NativeApp_G4QLIQRa.exe | 87200e8b43a6707cd66fc240d2c9e9da7f3ed03c8507adf7c1cfe56ba1a9c57d |
GitHub 托管载荷的证书签名
| 指标 | | c855f7541e50c98a5ae09f840fa06badb97ab46c | | 94c21e6384f2ffb72bd856c1c40b788f314b5298 | | 74df2582af3780d81a8071e260c2b04259efc35a | | 07728484b1bb8702a87c6e5a154e0d690af2ff38 | | 901f3fe4e599cd155132ce2b6bf3c5f6d1e0387c | | be7156bd07dd7f72521fae4a3d6f46c48dd2ce9e | | 686b7ebba606303b5085633fcaa0685272b4d9b9 | | 74a8215a54f52f792d351d66bd56a0ac626474fb | | 561620a3f0bf4fb96898a99252b85b00c468e5af | | 8137f599ac036b0eaae9486158e40e90ebdbce94 | | E9007755cfe5643d18618786de1995914098307f |
Dropbox 托管载荷的证书签名
| 指标 | | fa6146f1fdad58b8db08411c459cb70acf82846d |
第二阶段载荷
| 文件名 | SHA-256 | | NanoTool.exe | 9f958b85dc42ac6301fe1abfd4b11316b637c0b8c0bf627c9b141699dc18e885 | | Squarel.exe | 29539039c19995d788f24329ebb960eaf5d86b1f8df76272284d08a63a034d42 | | ParanoidResolver.exe | 1f73a00b5a7ac31ffc89abbedef17ee2281cf065423a3644787f6c622295ff29 | | AliasInstall.exe | 997671c13bb78a9acc658e2c3a1abf06aedc4f1f4f1e5fd8d469a912fc93993b | | IoNixNginx.exe | 1d8ab53874b2edfb058dd64da8a61d92c8a8e302cc737155e0d718dbe169ba36 | | QilawatProton.exe | 885f8a704f1b3aaa2c4ddf7eab779d87ecb1290853697a1e6fb6341c4f825968 | | ProtonEditor.exe | 48f422bf2b878d142f376713a543d113e9f964f6761d15d4149a4d71441739e5 | | AlEditor.exe | 9daa63046978d7097ea20bfbb543d82374cf44ba37f966b87488f63daf20999e | | Scielfic.exe | 6ec86b4e200144084e07407200a5294985054bdaddb3d6c56358fc0657e48157 | | Pictore.exe | 18959833da3df8d5d8d19c3fce496c55aa70140824d3a942fe43d547b9a8c065 | | AlarmWalker Solid.exe | 552f23590bdf301f481e62a9ce3c279bab887d64f4ba3ea3d81a348e3eff6c45 | | Aevella.exe | 2a738f41b42f47b64be7dc2d16a4068472b860318537b5076814891a7d00b3bb | | Application.exe | 5b50d0d67db361da72af2af20763b0dde9e5e86b792676acb9750f32221e955c | | ArchiverApp.exe | cfeac95017edbfe9a0ad8f24e7539f54482012d11dc79b7b6f41ff4ff742d9c6 | | LakerBaker.exe | af7454ca632dead16a36da583fb89f640f70df702163f5a22ba663e985f80d88 | | NanoTool.exe | efdcd37ee0845e0145084c2a10432e61b1b4bf6b44ecd41d61a54b10e3563650 | | DisplayPhotoViewer.exe | 86ae0078776c0411504cf97f4369512013306fcf568cc1dc7a07e180dde08eda | | CheryLady Application.exe | 773d3cb5edef063fb5084efcd8d9d7ac7624b271f94706d4598df058a89f77fd | | SalmonSamurai.exe | 40abba1e7da7b3eaad08a6e3be381a9fc2ab01b59638912029bc9a4aa1e0c7a7 | | Heaveen Application.exe | 39dbf19d5c642d48632bfaf2f83518cfbd2b197018642ea1f2eb3d81897cf17d | | Cisco Application.exe | 234971ecd1bf152c903841fac81bdaa288954a2757a73193174cde02fa6f937b | | Simplify.exe | 221615de3d66e528494901fb5bd1725ecda336af33fe758426295f659141b931 | | SecondS.tmp | 5185f953be3d0842416d679582b233fdc886301441e920cb9d11642b3779d153 |
第二阶段的 C2s
| 指标 | 类型 | | 159.100.18[.]192 | C2 | | 192.142.10[.]246 | C2 | | 79.133.46[.]35 | C2 | | 84.200.24[.]191 | C2 | | 84.200.24[.]26 | C2 | | 89.187.28[.]253 | C2 | | 185.92.181[.]1 | C2 | | 188.245.94[.]250 | C2 |
第三阶段载荷:.exe 和 PowerShell 文件
| 文件名 | SHA-256 | | ApproachAllan.exe | 4e5fafffb633319060190a098b9ea156ec0243eb1279d78d27551e507d937947 | | DiscoConvicted.exe | 008aed5e3528e2c09605af26b3cda88419efb29b85ed122cab59913c18f7dc75 | | AwesomeTrader.exe | 21d4252a6492270f24282f8de9e985c9b8c61412f42d169ff4b128fd689d4753 | | CiteLips.exe | c9713c06526673bf18dbdaf46ea61ca9dd8fefe8ceec3be06c63db17e01e3741 | | RepublicChoir.exe | f649f66116a3351b60aa914e0b1944c2181485b1cf251fc9c1f6dab8a9db426b | | 6Zh7MvxYtHTBFX90Mn.exe | b96360d48c2755ded301dd017b37dfdce921bdea7731c4b31958d945c8a0b8f5 | | ExclusivePottery.exe | 54c8a4f58b548c0cf6dbea2522e258723263ccde11d23e48985bdd1fd3535ce2 | | squarel.ps1 | d70ccae7914fc8c36c9e11b2a7f10bebd7f5696e78d8836554f4990b0f688dbb | | MadCountries.exe | 9fe2c00641ece18898267b3c6e4ee0cb82ffefbc270c0767c441c3f38b63a12a | | HockeyTract.exe | f136fa82ff73271708afe744f4e6a19cd5039e08ecd3ddad8e4d238f338f4d58 | | BruneiPlugins.exe | 453de65c9cc2dc62a67c502cd8bc26968acad9a671c1e095312c1fa6db4a7c74 | | CnnCylinder.exe | a76548a500d81dbb6f50419784a9b0323f5e42245ac7067af2adee0558167116 | | specreal.ps1 | d70ccae7914fc8c36c9e11b2a7f10bebd7f5696e78d8836554f4990b0f688dbb | | InflationWinston.exe | dfbba64219fc63815db538ae8b51e07ec7132f4b39ba4a556c64bd3a5f024c2d | | netsup.ps1 | d70ccae7914fc8c36c9e11b2a7f10bebd7f5696e78d8836554f4990b0f688dbb | | CfUltra.exe | 7880714c47260dba1fd4a4e4598e365b2a5ed0ad17718d8d192d28cf75660584 | | CalvinShoppercom.exe | 345a898d5eab800b7b7cbd455135c5474c5f0a9c366df3beb110f225ba734519 | | EscortUnavailable.exe | 258efd913cccdb70273c9410070f093337d5574b74c683c1cdff33baff9ffd7c | | DisagreeProceed.exe | 9c82a2190930ec778688779a5ad52537d8b0856c8142c71631b308f1f8f0e772 | | BarbieBiblical.exe | 34f43bfc0a6f0d0f70b6eee0fa29c6dc62596ab2b867bbabd27c68153ea47f24 | | MysqlManaging.exe | ef1f9d507a137a4112ac92c576fc44796403eb53d71fe2ddb00376419c8a604e | | PillsHarvest.exe | 4af3898ba3cf8b420ea1e6c5ce7cdca7775a4c9b78f67b493a9c73465432f1d3 | | BelfastProt.exe | ad470bffbd120fc3a6c2c2e52af3c12f9f0153e76fee5e2b489a3d1870bdff03 | | HowardLikelihood.exe | cc08892ace9ac746623b9d0178cd4d149f6a9ab10467fb9059d16f2c0038dcf9 | | SorryRequiring.exe | 4a2346d453b2ac894b67625640347c15e74e3091a9aa15629c3a808caaff1b2b | | SearchMed.exe | b0aab51b5e4a9cdd5b3d2785e4dea1ec06b20bc00e4015ccd79e0ba395a20fbd | | RepublicChoir.exe | f649f66116a3351b60aa914e0b1944c2181485b1cf251fc9c1f6dab8a9db426b | | DesignersCrawford.exe | e8452a65a452abdb4b2e629f767a038e0792e6e2393fb91bf17b27a0ce28c936 | | HumanitarianProvinces.exe | 25cfd6e6a9544990093566d5ea9d7205a60599bfda8c0f4d59fca31e58a7640b | | ResetEngaging.exe | 51fbc196175f4fb9f38d843ee53710cde943e5caf1b0552624c7b65e6c231f7e | | EducationalDerby.exe | 4a9a8c46ff96e4f066f51ff7e64b1c459967e0cdeb74b6de02cf1033e31c1c7b | | StringsGrill.exe | f2a8840778484a56f1215f0fa8f6e8b0fb805fce99e62c01ff0a1f541f1d6808 | | CongressionalMechanics.exe | 2060509a63180c2f5075faf88ce7079c48903070c1c6b09fa3f9d6db05b8d9da | | SexuallyWheat.exe | d39075915708d012f12b7410cd63e19434d630b2b7dbe60bd72ce003cd2efeaf | | PerceptionCircuits.exe | 0e7dd3aa100d9e22d367cb995879ac4916cb4feb1c6085e06139e02cc7270bba | | WWv63SKrHflebBd4VW.ps1 | 483796a64f004a684a7bc20c1ddd5c671b41a808bc77634112e1703052666a64 | | WritingsShanghai.exe | fa131ea3ce9a9456e1d37065c7f7385ce98ffa329936b5fdd0fd0e78ade88ecb | | IUService.exe | d5a6714ab95caa92ef1a712465a44c1827122b971bdb28ffa33221e07651d6f7 | | RttHlp.exe | 8aed681ad8d660257c10d2f0e85ae673184055a341901643f27afc38e5ef8473 | | ASmartService.exe | 75712824b916c1dc8978f65c060340dc69b1efa0145dddbf54299689b9f4a118 | | ClaireSpecifically.exe | 746abef4bde48da9f9bff3c23dd6edf8f1bea4b568df2a7d369cb30536ec9ce0 | | report.exe | 6daccc09f5f843b1fa4adde64ad282511f591a641cb474e123fed922167df6ae | | xh6yIa7PXFCsasc0H5.exe | 5f17501193f5f823f419329bc20534461a7195aa4c456e27af6b0df5b0788041 | | yL6Iwcawoz3KDjg60m.exe | 5ecb4240fae36893973fb306c52c7e548308ebcfba6d101aad4e083407968a96 | | CustomsCampbell.exe | 5b80c7d65bb655ccb6e3264f4459a968edcda28084e0ddde16698f642b2d7d83 | | HoldemRover.exe | 4c60cdd1ee4045eb0b3bfda8326802d17565f3d1ff6829ac05775ebc6d9ca2dc | | QUCvpZLobnhvno5v1t.exe | 4bac608722756c80c29fee6f73949c011ea78243e5267e86b7b20b3beeb79f9e | | EmilyHaiti.exe | 3221f1356a91d4f06d1deee988be04597cc11bc1cab199ba9c43b9d80dfa88bd | | PIPIPOO.exe | 15bf7a141a5a5e7e5c19ffbfbb5b781ae8db52d9ba5ffeb1364964580ed55b13 | | ReliefOrganizational.exe | 02533f92d522d47b9d630375633803dd8d6b4723e87d914cd29460d404134a66 | | HelloWorld.ps1 | 670218cfc5c16d06762b6bc74cda4902087d812e72c52d6b9077c4c416485 | | 251.zip | 0997201124780f11a16662a0d718b1a3ef3202c5153191f93511d7ecd0de4d8d | | 251.exe | 4b50e7fba5e33bac30b98494361d5ab725022c38271b3eb89b9c4aab457dca78 |
第四阶段的 AutoIT、NetSupport RAT、PowerShell 和 Lumma
| 文件名 | SHA-256 | Korea.com
Fabric.com
Affiliated.com
Weeks.com
Briefly.com
Denmark.com
Tanzania.com
Cookies.com
Spice.com
SophieHub.scr
SpaceWarp.scr
SkillSync.scr
Quantify.scr
HealthPulse
CogniFlow.scr
ArgonautGuard.scr | 865347471135bb5459ad0e647e75a14ad91424b6f13a5c05d9ecd9183a8a1cf4 | Warrant.com
Ford.com
AutoIt3.exe
Seq.com
Underwear.com | 1300262a9d6bb6fcbefc0d299cce194435790e70b9c7b4a651e202e90a32fd49 | | Presentationhost.exe | 18df68d1581c11130c139fa52abb74dfd098a9af698a250645d6a4a65efcbf2d | | erLX7UsT.ps1 | 2a29c9904d1860ea3177da7553c8b1bf1944566e5bc1e71340d9e0ff079f0bd3 | | 675aff18abddc.exe | adf5a9c2db09a782b3080fc011d45eb6eb597d8b475c3c27755992b1d7796e91 | | 675aff18abddc.vbs | 5f2b66cf3370323f5be9d7ed8a0597bffea8cc1f76cd96ebb5a8a9da3a1bdc71 | | 251.exe | 707a23dcd031c4b4969a021bc259186ca6fd4046d6b7b1aaffc90ba40b2a603b |
第三阶段 C2s
| 指标 | 类型 | | hxxp://keikochio[.]com/staz/gribs.zip | C2 | | hxxp://keikochio[.]com/incall.php?=compName=<computer name> | C2 | | hxxps://stocktemplates[.]net/input.php?compName=<computer name> | C2 | | hxxp://89.23.96[.]126/?v=3&event=ready&url=hxxp://188.245.94[.]250:443/auto/28cd7492facfd54e11d48e52398aefa7/251.exe | C2 |
第四阶段的 C2s
| 指标 | 类型 | | 45.141.84[.]60 | IP地址 | | 91.202.233[.]18 | IP地址 | | 154.216.20[.]131 | IP地址 | | 5.10.250[.]240 | IP地址 | | 79.132.128[.]77 | IP地址 | | hxxps://shortlearn[.]click | URL | | hxxps://wrathful-jammy[.]cyou | URL | | hxxps://mycomp[.]cyou | URL | | hxxps://kefuguy[.]shop | URL | | hxxps://lumdukekiy[.]shop | URL | | hxxps://lumquvonee[.]shop | URL | | hxxps://klipcatepiu0[.]shop | URL | | hxxps://gostrm[.]shop | URL | | hxxps://ukuhost[.]net | URL | | hxxps://silversky[.]club | URL | | hxxps://pub.culture-quest[.]shop | URL | | hxxps://se-blurry[.]biz | URL | | hxxps://zinc-sneark[.]biz | URL | | hxxps://dwell-exclaim[.]biz | URL | | hxxps://formy-spill[.]biz | URL | | hxxps://covery-mover[.]biz | URL | | hxxps://dare-curbys[.]biz | URL | | hxxps://impend-differ[.]biz | URL | | hxxps://dreasd[.]xyz | URL | | hxxps://ikores[.]sbs | URL | | hxxps://violettru[.]click | URL | | hxxps://marshal-zhukov[.]com | URL | | hxxps://tailyoveriw[.]my | URL |
第四阶段连接性测试站点
| 指标 | 类型 | | hxxps://baidu.com | URL | | hxxps://360.net | URL | | hxxps://praxlonfire73.live | URL |
来源:Malvertising campaign leads to info stealers hosted on GitHub | Microsoft Security Blog
| 
发表于 2025-3-8 19:22:09
楼主