摘要
2019年10月29日,有研究者在Twitter上披露了某木马的C2控制后台,其中包括部分目前正在被控的IP。
玄蜂安全工作室对之进行了分析后,有如下发现:
此主控后台系印度政府背景APT组织Bitter所有。(Bitter,又名“蔓灵花”,是一个长期针对中国、巴基斯坦等国家的政府、军工、电力、核等部门发动网络攻击的APT团伙,具有印度国家背景)对后台日志进行分析发现,中国是主要的受害者,其中受影响地区包含北京、上海、浙江、广西等地。
详情
2019年10月27日,推特用户@MisterCh0c发布消息称发现了一款木马控制平台的登录地址http://lmhostsvc[.]net/healthne/login.php,10月28日,另一用户@sS55752750回复该信息并配有一张后台页面图片,根据图片发现该后台至少记录了12台被控主机的IP地址、计算机名、用户名、操作系统、被控时间及最后一次上线时间等信息。
核实发现,相关域名属于印度政府背景APT组织Bitter所有,于2019年9月26日已经识别,且近期已捕获该域名相关多个木马样本。
通过云沙箱查询发现,相关木马启动后的回传信息如下:
a=vbccsb-PC
b=VBCCSB-PC
c=Windows 7 Ultimate
d=vbccsbvbccsb1a86a5ed-85f2-4731-b953-cd4bb615f8531565536040965860&e=
由此可知与此次曝光平台展示的信息完全一致。而对该后台分析发现,目前记录的18个IP地址中9个属于中国,主要涉及北京、上海、浙江、广西等地,该平台还具备下发木马插件的功能,可对受控主机实施进一步操作,相关信息如下所示:
针对意见:
1、建议受影响企业高度重视此次事件,并结合内部DNS记录,排查与主控域名存在通信的相关内部主机。
2、建议对该组织的攻击活动进行持续检测和防范。
