fake app 1x

ulyanov2233

https://www.virustotal.com/gui/f ... 8da6e4833?nocache=1

ongarabazanade

aboringman

ESET：



2025/9/21 15:49:48

高级内存扫描程序

文件

系统内存 > WpsSetup.exe(8196);Win64/Agent.HAO 特洛伊木马 的变量

已包含被感染的文件

C0A1884E85B31CD0AE0270D606833C63D11C6B67

https://www.virustotal.com/gui/f ... 39d1738ca?nocache=1

ulyanov2233

通过系统化拓线分析，成功构建出完整的Silver Fox APT攻击网络，确认以下关键情报：

• 核心攻击组织：Silver Fox APT（恶意级别：3，APT家族）
• 核心C2基础设施：
  • 域名：pttphddopp.oss-cn-hongkong.aliyuncs.com（恶意类型：KNOWN APT，告警：Silver Fox APT活动事件）
  • 域名：zhong.1v5s.com（恶意类型：KNOWN APT，告警：Silver Fox APT活动事件）
  • IP：47.83.225.15（关联7个恶意样本，端口：8990/5946）
    
• 关联样本拓线：
  • 主样本：9ae7b90b32d103edef1abe5e2b49a47b（WpsSetup.exe，风险等级：30）
  • 拓线样本（7个）：
    • 3ad877d5fb92d33a84a2f8563677a695（恶意家族：giant，文件名：uok.exe）
    • 78f913ad5d99f72eeb90557bd9042814（恶意家族：Farfli，文件名：78f913ad5d99f72eeb90557bd9042814.exe）
    • 1125cd9cb814568952d55f810b22d2a9（恶意家族：Doina，文件名：1125cd9cb814568952d55f810b22d2a9.x64.exe）
    • ff8df6dc3007cf2f50d8702d4bb2e003（恶意家族：SilverFox，文件名：ff8df6dc3007cf2f50d8702d4bb2e003.x64.exe）
    • 56b2df59fced5f6e7e52d717a9b5b390（恶意家族：Farfli，文件名：56b2df59fced5f6e7e52d717a9b5b390.dll）
    • e74b06fc27c11ec1fdf846fd29389f9c（恶意家族：Doina，文件名：e74b06fc27c11ec1fdf846fd29389f9c.x64.exe）
    • a06ca6c12721af331f06e01b45e7c6a0（恶意家族：未明确，文件名：未明确）
      
    
    
• 攻击时间跨度：2025-09-11至2025-09-21（10天）
• 威胁等级：高危APT攻击（恶意级别：3，APT家族）
  

. 高危行为模式

• 多层权限提升：
  • 通过NtAdjustPrivilegesToken实现管理员权限提升（样本78f913ad5d99f72eeb90557bd9042814）
  • 利用NtCreateThreadEx实现跨进程注入（样本3ad877d5fb92d33a84a2f8563677a695）
    
• 进程注入技术：
  • 进程镂空技术：样本3ad877d5fb92d33a84a2f8563677a695通过NtUnmapViewOfSection取消映射恶意进程，实现免杀。
  • 线程劫持：样本3ad877d5fb92d33a84a2f8563677a695使用NtSetInformationThread劫持线程执行流。
    
• 防御规避手段：
  • 内联Hook：样本3ad877d5fb92d33a84a2f8563677a695通过NtWriteVirtualMemory内联Hook系统函数（LdrFindResource_U、LdrAccessResource）规避检测。
  • 进程伪装：样本1125cd9cb814568952d55f810b22d2a9通过WMI查询AntiVirusProduct检测安全软件，规避分析环境。
    
  
  

2. 持久化机制

• 注册表自启动：
  [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]"驱动人生"="C:\Users\Public\Documents\QQ\TASKMAN.exe"
  • 关联样本：3ad877d5fb92d33a84a2f8563677a695（恶意家族：giant）
    
• 系统服务创建：
  sc create ConnectGroup binPath= "C:\Users\Public\Documents\QQ\spolsvt.exe"sc create MarkTime binPath= "C:\Users\Public\Documents\QQ\spolsvt.exe"
  • 关联样本：78f913ad5d99f72eeb90557bd9042814（恶意家族：Farfli）
    
  
  

3. 通信特征分析

• 流量特征：
  • 使用HTTP GET请求下载恶意载荷（/zh/zh.bin_1757427233.exe）
  • 通过阿里云CDN（aliyuncs.com）伪装合法流量，规避网络监控
  • 频繁的OCSP请求（ocsp.globalsign.com）用于验证C2通信合法性
    
• C2端口策略：
  • 端口8990：用于Farfli家族样本（78f913ad5d99f72eeb90557bd9042814、56b2df59fced5f6e7e52d717a9b5b390）
  • 端口5946：用于Doina家族样本（1125cd9cb814568952d55f810b22d2a9、e74b06fc27c11ec1fdf846fd29389f9c）
    
  
  

莒县小哥

朱原睿

360，版本有点老哈：

Fadouse

sentinelone Kill

Curve25519

aboringman 发表于 2025-9-21 15:52
ESET：

ESET Smart Security Premium 沙盘中解压 miss，双击触发 LiveGuard 分析，miss，沙盘中运行杀3衍生物。0922 复测，解压没反应，右键查看 LiveGrid 云信誉时 kill

2025/9/21 17:21:34;758AB602428F436B5D2198DA5984E274C205AF09;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\WpsSetup\WpsSetup.exe;658944;可执行文件;自动;ESET LiveGuard;DESKTOP-K07940I\Admin;;

2025/9/21 17:21:17;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;NT AUTHORITY\ANONYMOUS LOGON
2025/9/21 17:22:34;ESET 内核;ESET LiveGuard 正在分析文件，以确保其可安全使用。我们会在几分钟后给您发送通知。取消阻止文件(不建议)更改设置;DESKTOP-K07940I\Admin
2025/9/21 17:23:48;ESET 内核;ESET LiveGuard 已完成分析文件。可以安全使用。;SYSTEM

2025/9/21 17:21:34;758AB602428F436B5D2198DA5984E274C205AF09;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\WpsSetup\WpsSetup.exe;658944;可执行文件;自动;ESET LiveGuard;DESKTOP-K07940I\Admin;;

2025/9/21 17:25:15;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\C\Program Files\ok_1758446712.stml;HTML/Agent.IM 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;2A89A8ECD5247C9760DA533E7216520B1F85906C;2025/9/21 17:25:12;;
2025/9/21 17:25:15;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\C\Program Files\ok_1758446712.txt;XML/Agent.DD 特洛伊木马;已通过删除清除;DESKTOP-K07940I\Admin;在新建的文件上发生事件。;7542D64D40EDCA99098F2458CAF79D64D9D9D4FA;2025/9/21 17:25:12;;
2025/9/21 17:25:17;高级内存扫描程序;文件;系统内存 > WpsSetup.exe(16028);Win64/Agent.HAO 特洛伊木马 的变量;已包含被感染的文件;;;702C3152FB073B57FA4E100C9E0FBCA25E801959;;;

2025/9/22 10:36:05;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\WpsSetup\WpsSetup.exe;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;尝试通过应用程序访问文件时发生事件: C:\Program Files\ESET\ESET Security\egui.exe (CCCC8ACEDC552EE115C6BC6D560378998796D407).;758AB602428F436B5D2198DA5984E274C205AF09;2025/9/21 17:21:09;;

lovexiaomo

kes 12.10 kill

xiaobaobao20

avast远古版本