尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
編號: TB-2019-0013
報告置信度:85
TAG:Bitter 蔓靈花 印度 北京 上海 主控 後台
TLP: 白(報告使用及轉發不受限制)
日期: 2019-10-30
摘要
2019年10月29日,微步在線監測到有研究者在Twitter上披露了某木馬的C2控制後台,其中包括部分目前正在被控的IP。
對之進行了分析後,有如下發現:
此主控後台系印度政府背景APT組織Bitter所有。(Bitter,又名「蔓靈花」,是一個長期針對中國、巴基斯坦等國家的政府、軍工、電力、核等部門發動網路攻擊的APT團夥,具有印度國家背景)對後台日志進行分析發現,中國是主要的受害者,其中受影響地區包含北京、上海、浙江、廣西等地。
詳情
2019年10月27日,推特用戶@MisterCh0c發布消息稱發現了一款木馬控制平台的登錄地址http://lmhostsvc[.]net/healthne/login.php,10月28日,另一用戶@sS55752750回復該信息並配有一張後台頁面圖片,根據圖片發現該後台至少記錄了12台被控主機的IP地址、計算機名、用戶名、操作系統、被控時間及最後一次上線時間等信息。
核實發現,相關域名屬於印度政府背景APT組織Bitter所有,於2019年9月26日已經識別,且近期已捕獲該域名相關多個木馬樣本。
通過雲沙箱查詢發現,相關木馬啟動後的回傳信息如下:
a=vbccsb-PC
b=VBCCSB-PC
c=Windows 7 Ultimate
d=vbccsbvbccsb1a86a5ed-85f2-4731-b953-cd4bb615f8531565536040965860&e=
由此可知與此次曝光平台展示的信息完全一致。而對該後台分析發現,目前記錄的18個IP地址中9個屬於中國,主要涉及北京、上海、浙江、廣西等地,該平台還具備下發木馬插件的功能,可對受控主機實施進一步操作,相關信息如下所示:
行動建議
1、建議受影響企業高度重視此次事件,並結合內部DNS記錄,排查與主控域名存在通信的相關內部主機。
2、建議對該組織的攻擊活動進行持續檢測和防范。
附錄
C2
lmhostsvc.net
Hash
a5f42d753ce4d5c5144554b8cde3d2d9158371a6447606643ba272fac329db6e
20d4056be75b8d616a68afe08699faba8847**ca24caef485107ba5514ccdb
34e90f0676e00e035d84e23c18cfb0f732be7e5bfbc0269e4f5fd7d8f664332a
4e2bcb8a42125c45e43b1b760f791633cb92d5519e6df2fb1ff6296b3e9e289a
*本文作者:Threatbook,轉載請註明來自FreeBuf.COM
精彩推薦