联系电话
QQ客服
发布时间:2019-10-30
简要描述:
奇安信威胁情报中心红雨滴团队在日常的APT组织跟踪过程中发现,国外推特一用户曝光了一张截图,上面显示了疑似木马控制后台的主机信息界面。 经过排查发现,该推特实际上是评论了...
奇安信威胁情报中心红雨滴团队在日常的APT组织跟踪过程中发现,国外推特一用户曝光了一张截图,上面显示了疑似木马控制后台的主机信息界面。
经过排查发现,该推特实际上是评论了一个人的推特:
其中lmhostsvc.net在奇安信威胁情报中心Alpha威胁分析平台上可见,其为一个疑似印度来源的组织Bitter,中文名为蔓灵花。
从曝光的后台界面来看,后台上端显示从左到右为状态,系统,任务,日志,还有登出按钮:
而根据该域名对应的样本(c0679704a43f33f088de6759583b527e)进行分析后发现,其回连C2的格式均如下所示:
http://lmhostsvc.net/healthne/accept.php?a=dori-PC&b=DORI-PC&c=Windows%207%20Ultimate&d=AdministratorAdministrator0c2fffe3-2bbf-4418-a252-fc560dbb8ee51565536040965860&e=
其中的相关字段正好可以对应后台的对应字段,下面的submit Task提交任务便暴露了Bitter组织下发木马的途径:
而根据一些情报推测分析,下拉的样本大致如下:
其中的样本分析并不是本文的主要目的,日后红雨滴团队将公布关于该组织的详细报告。
最后,由于该图片已经开始大范围传播,为了及时响应,我们负责任的披露了此次曝光事件。
*部分IP涉及国内受害者,因此采取打码方式隐去。
相关资料
https://ti.qianxin.com/search?type=domain&value=lmhostsvc.net
上一篇:新近披露:指向世界反兴奋剂机构和国际体育组织的网络暗战
下一篇:筑梦起航,职耀未来 | 谷安牛聘双选会,第8期网络安全人才专场等你来
黑客技术培训
网络运维培训班
黑客技术专业培训
网络安全工程师培训
如果您有任何问题,请跟我们联系!
联系我们
Copyright © 武汉网盾科技有限公司 版权所有 备案号:鄂ICP备2023003462号-5
地址:武汉市东湖高新区光谷大道光谷世贸中心A栋23楼
咨询在线客服
服务热线
18696195380/18672920250
扫一扫,关注我们