Hvv 日记 威胁情报 8.5 （IP、样本）

样本主题：**-****大学-本科-机械专业-个人简历及其他材料.exe
SHA256:
0a5e6d421c81553ffdfc0eca166cd3c08b36ee919b2a730a96bea4edb66e5f82
MD5: c38e7ecc2313c104aa11cb312687bed9
恶意软件：175.178.3.223:80
分析结论：木马加载器

样本主题：关于机场场务优化调整的通知-**机场.word.exe
SHA256:
f457bf53796b1506baac87bbf63b74d1b122cf1f2a9aaf5a0b93bc54c242ef3b
MD5: 1941b02a1a2403dce0200748cb0bed37
C2：106.53.44.71:8113
分析结论：CobaltStrike 木马

样本主题：全球薪酬支付服务业务合作需求材料.rar
SHA256:
d7c9879fd6b915023c3f4df863d799a53a837ba8e34d6af7bd0b34bcbbbb3e6b
MD5: f6563771ae1412eddd2d3424832bfbb1
C2：47.108.130.170:8065
分析结论：CobaltStrike 木马

样本主题：**壁纸.exe
SHA256:
a9d86eb59220d766d476433362f95688a1eeb2d31bc4ccf8945951259049638b
MD5: 677c4f008488791f8bc164a477b6e50a
C2：43.142.38.197:9911
分析结论：CobaltStrike 木马

样本主题：木马 yuexiu.rar
SHA256:
2045da23603e642b6d4445db6b88612d64e1c7d00ab63eff008551e8b246e277
MD5: f5004d76dd2638b641ce6b9b3e20fb90
恶意软件：yuntechmirror.oss-cn-hangzhou.aliyuncs.com
相关 IP 和域名：123youke.com、www.turingmaker.com、118.212.144.100
攻击手法：域前置
分析结论：CobaltStrike 木马

77c2fa0c44451028ccdbe29e11f0ae26
**专刊(九)投稿材料发送给**.rar

94982bba8f87f6ecac7b4eb6e8ab2440
******治理委员邀请函及会议议程-0820.rar

202624d6751c2c7508c1c482fa428210
**运维审计系统客户端.zip

f3312f78b85d9edbc4e19dc61e17fe73
杭州*****事务所——工作需求问题汇总.exe

90b449cfbf8639ea56a08cc22ac51347
病毒样本.exe

27e28278095f29a8abc2e0b8e941e40d
异常登录处理指引.zip

2694553347f23e250ed70a8c23096d8f
DS_Store.exe

971c58d091044861571f2026ea53e6b5
关于审议《*****公司安全风险分级管控和隐患排查治理双重预防机制管理规定(2024年修订)》的议案.zip.zip

708191dee7ca97f21100fd264fd14775
采购清单.7z

8ce3642ece6e931cc907d432967d1148
刘梦+**大学+新媒体与传播学专业.zip

25ee1eed790385a3a53ccc252b48fb4
李晓刚-中国货币网信息自主披露平台用户申请表.exe

955841a4d2315422818b47aec6ce51fb
50026D81-****-AA4-**数据无法使用.rar

一、基本信息
攻击者 IP：121.196.200.91。
二、活跃时间
最近活跃时间为 2024 年 8 月 1 日，且仅在这一天有活动迹象，时间跨度较短，集中在这一天的特定时段内，具体时间暂未明确。
三、地理位置
其所处地理位置位于中国的浙江省杭州市。杭州是一座充满活力且科技产业发达的城市，拥有众多的互联网企业和信息技术机构，该攻击者在此地进行网络活动，可能与当地的网络环境或特定目标有关。
四、活跃行业
活跃行业为政府领域。政府部门通常拥有大量的敏感信息和重要数据，成为攻击者的潜在目标，其针对政府行业的活动可能存在一定的目的和意图。
五、能力评价
从攻击量来看，相对较少，没有大规模的攻击行动，这可能表明其行动较为谨慎或资源有限。
攻击目标表现出专一性，专注于特定的目标，可能是经过精心挑选或有针对性的选择。
从活跃时间判断是近期才开始活跃的攻击者，疑似属于红队。红队通常具备一定的技术能力和策略，进行模拟攻击或安全测试等活动，但也不能排除恶意攻击的可能性。
六、攻击利用特征
攻击者使用了 Alphalog 工具进行 log4j2 渗透测试。log4j2 是一个广泛使用的日志框架，存在一些安全漏洞，攻击者利用这一工具和漏洞进行攻击。
其中还涉及到公共隐蔽链路 callback.red，这种隐蔽链路可能用于隐藏攻击来源或进行数据传输，增加了攻击的复杂性和隐蔽性。
七、近期攻击行为
近期主要有目录扫描和 log4j2 相关的攻击行为。目录扫描是一种常见的网络探测手段，用于寻找目标系统中的敏感信息或漏洞入口。log4j2 攻击则是利用 log4j2 组件的漏洞进行渗透，可能导致系统被入侵、数据泄露或其他安全问题。

一、基本信息
攻击者的 IP 地址为 101.132.137.180，这是一个在网络空间中用于标识其来源的关键数字线索。
二、活跃时间
最近的活跃时间跨度从 2024 年 7 月 26 日开始，一直持续到 2024 年 8 月 5 日。在这长达 11 天的时间里，攻击者持续在网络中保持着活跃状态，可能不断寻找着可乘之机，在不同的时间点进行着各种网络攻击活动。
这期间，可能会选择在网络流量相对较低的时段，如深夜或者凌晨，以降低被发现的概率，悄然实施其攻击计划。
三、地理位置
该攻击者所处的地理位置位于中国的上海市。上海作为国际化大都市，拥有着高度发达的信息技术和网络基础设施，同时也是众多重要企业和机构的聚集地。
这里汇聚了能源、交通、银行等关键行业的大型企业，为攻击者提供了丰富的潜在目标。其在上海的地理位置也可能使其更容易获取到本地的网络资源和信息，从而助力其攻击行动。
四、活跃行业
活跃于能源、交通、银行等多个关键行业。这些行业对于国家的经济运行和社会稳定至关重要，并且通常拥有大量的敏感信息和关键数据。
在能源行业，攻击者的活动可能会影响能源的生产、传输和供应安全。例如，可能试图获取能源企业的生产调度信息或者能源储备数据，从而对能源市场造成潜在的冲击。
交通行业方面，交通系统的正常运行依赖于稳定的网络和数据支持。攻击者的介入可能会导致交通信号系统紊乱、航班或列车调度出现问题，给公众出行带来极大的不便和安全隐患。
银行行业更是存储着大量的金融资产和客户信息，一旦遭受攻击，可能会导致客户资金受损、金融市场动荡等严重后果。
五、能力评价
在专项期间，攻击者启用了基础设施来支持其攻击活动。这些基础设施可能包括特定的服务器、网络设备或者软件工具，为其攻击行动提供了必要的技术支持和资源保障。
攻击具有明显的针对性，不是随意的攻击行为，而是经过精心策划和挑选目标。例如，疑似成功入侵了某交通投资集团等目标，这显示出其对目标的深入了解和攻击策略的有效性。
能够成功入侵重要的交通投资集团，表明攻击者具有较强的攻击能力，能够突破目标的网络防御体系，获取到关键信息或者控制系统。
有迹象显示疑似与某安全厂商存在关联，这种关联可能是技术上的依赖、信息共享，或者是存在某种合作关系，但具体的关联性质还需要进一步的调查和分析。
六、近期攻击行为
近期主要进行了信息探测和漏洞扫描等攻击行为。信息探测是攻击的前期准备阶段，攻击者通过各种手段收集目标的网络结构、系统配置、用户信息等，为后续的攻击行动提供情报支持。
漏洞扫描则是为了寻找目标系统中存在的安全漏洞，这些漏洞可能成为攻击者入侵的入口。攻击者利用专业的漏洞扫描工具，对目标系统进行全面的扫描，试图发现可以利用的弱点，然后针对性地制定攻击策略，实施进一步的攻击。

一、基本信息
攻击者的 IP 地址为 36.138.173.47，这一数字组合如同攻击者在网络世界的独特“名片”，是追踪和识别其活动的重要线索。
二、活跃时间
最近活跃时间从 2024 年 7 月 25 日拉开帷幕，一直持续到 2024 年 8 月 2 日。在这长达九天的时间跨度里，攻击者在网络空间中持续活跃，仿佛一个隐藏在暗处的幽灵。在这段时间里，可能每天会选择不同的时间段来展开攻击行动，比如在人们工作相对松懈的夜晚或者清晨时分，利用网络监管的薄弱点来实施攻击，以增加攻击成功的几率。
7 月 25 日这天，或许攻击者就已经开始悄悄地进行信息收集和目标定位，为后续的大规模攻击行动做铺垫。随着时间的推移，到了 7 月 30 日左右，攻击活动可能逐渐进入白热化阶段，漏洞扫描的频率和强度都有所增加。而在 8 月 1 日至 2 日，攻击依然在持续，丝毫没有减弱的迹象。
三、地理位置
其地理位置位于中国的上海市。上海作为国际化大都市和中国的经济中心，拥有高度发达的信息技术产业和复杂的网络环境。这里不仅有众多的企业总部和金融机构，还有关键的基础设施。攻击者身处这样一个信息技术高度发达的城市，可能更容易获取到先进的技术资源和信息，为其攻击行动提供便利。
上海的网络基础设施完善，网络流量巨大，攻击者可以借助这一优势隐藏自己的行踪，使追踪和防范变得更加困难。同时，上海的电力建设和银行等行业在全国乃至全球都具有重要地位，拥有大量的敏感信息和关键数据，这也成为了攻击者眼中的“肥肉”。
四、活跃行业
活跃于电力建设和银行这两个至关重要的行业。电力建设行业关乎国家的能源安全和社会的正常运转，一旦遭受攻击，可能导致电力供应中断、电网系统瘫痪等严重后果。例如，攻击者对电力建设相关单位的攻击可能会影响到居民的日常生活、工业生产的正常进行等。
银行行业更是存储着海量的金融资产和客户隐私信息。攻击者的介入可能会引发客户资金被盗、金融交易数据泄露等问题，对金融市场的稳定造成巨大冲击。在电力建设领域，攻击者表现出了极强的针对性，似乎对该行业的网络架构、系统弱点了如指掌，能够精准地发起攻击。
五、能力评价
在专项期间，攻击者启用了特定的基础设施来支持其攻击活动。这些基础设施可能包括高性能的服务器、专业的网络设备以及定制化的攻击软件。例如，可能拥有自己的代理服务器网络，用于隐藏真实的 IP 地址和攻击来源，增加追踪的难度。
对电力建设相关单位具有令人瞩目的极强针对性，这表明攻击者可能事先进行了深入的行业调研和目标分析。他们可能通过各种渠道收集了电力建设单位的信息，包括组织结构、网络拓扑、系统配置等，然后制定出专门针对这些单位的攻击策略。
对相关单位的大量子域名进行漏洞扫描攻击，这显示了攻击者的耐心和细致。子域名往往是企业网络系统的重要组成部分，可能存在一些被忽视的安全漏洞。攻击者通过大规模的漏洞扫描，试图找到这些薄弱点，然后加以利用。例如，他们可能使用自动化的漏洞扫描工具，对成千上万个子域名进行逐一探测，不放过任何一个可能的突破口。
六、攻击利用特征
攻击利用特征中包含“y1bs.shop”。这个看似普通的字符串可能是攻击者用来进行攻击的关键线索。它可能是一个恶意网站的域名、一个特定的攻击代码标识，或者是与攻击者组织相关的一个代号。例如，“y1bs.shop”可能是攻击者用来分发恶意软件或钓鱼链接的网站，通过诱导受害者访问该网站，从而植入恶意代码或窃取敏感信息。

一、基本信息
攻击者的 IP 地址为 36.138.173.47，这一数字组合如同攻击者在网络世界的独特“名片”，是追踪和识别其活动的重要线索。
二、活跃时间
最近活跃时间从 2024 年 7 月 25 日拉开帷幕，一直持续到 2024 年 8 月 2 日。在这长达九天的时间跨度里，攻击者在网络空间中持续活跃，仿佛一个隐藏在暗处的幽灵。在这段时间里，可能每天会选择不同的时间段来展开攻击行动，比如在人们工作相对松懈的夜晚或者清晨时分，利用网络监管的薄弱点来实施攻击，以增加攻击成功的几率。
7 月 25 日这天，或许攻击者就已经开始悄悄地进行信息收集和目标定位，为后续的大规模攻击行动做铺垫。随着时间的推移，到了 7 月 30 日左右，攻击活动可能逐渐进入白热化阶段，漏洞扫描的频率和强度都有所增加。而在 8 月 1 日至 2 日，攻击依然在持续，丝毫没有减弱的迹象。
三、地理位置
其地理位置位于中国的上海市。上海作为国际化大都市和中国的经济中心，拥有高度发达的信息技术产业和复杂的网络环境。这里不仅有众多的企业总部和金融机构，还有关键的基础设施。攻击者身处这样一个信息技术高度发达的城市，可能更容易获取到先进的技术资源和信息，为其攻击行动提供便利。
上海的网络基础设施完善，网络流量巨大，攻击者可以借助这一优势隐藏自己的行踪，使追踪和防范变得更加困难。同时，上海的电力建设和银行等行业在全国乃至全球都具有重要地位，拥有大量的敏感信息和关键数据，这也成为了攻击者眼中的“肥肉”。
四、活跃行业
活跃于电力建设和银行这两个至关重要的行业。电力建设行业关乎国家的能源安全和社会的正常运转，一旦遭受攻击，可能导致电力供应中断、电网系统瘫痪等严重后果。例如，攻击者对电力建设相关单位的攻击可能会影响到居民的日常生活、工业生产的正常进行等。
银行行业更是存储着海量的金融资产和客户隐私信息。攻击者的介入可能会引发客户资金被盗、金融交易数据泄露等问题，对金融市场的稳定造成巨大冲击。在电力建设领域，攻击者表现出了极强的针对性，似乎对该行业的网络架构、系统弱点了如指掌，能够精准地发起攻击。
五、能力评价
在专项期间，攻击者启用了特定的基础设施来支持其攻击活动。这些基础设施可能包括高性能的服务器、专业的网络设备以及定制化的攻击软件。例如，可能拥有自己的代理服务器网络，用于隐藏真实的 IP 地址和攻击来源，增加追踪的难度。
对电力建设相关单位具有令人瞩目的极强针对性，这表明攻击者可能事先进行了深入的行业调研和目标分析。他们可能通过各种渠道收集了电力建设单位的信息，包括组织结构、网络拓扑、系统配置等，然后制定出专门针对这些单位的攻击策略。
对相关单位的大量子域名进行漏洞扫描攻击，这显示了攻击者的耐心和细致。子域名往往是企业网络系统的重要组成部分，可能存在一些被忽视的安全漏洞。攻击者通过大规模的漏洞扫描，试图找到这些薄弱点，然后加以利用。例如，他们可能使用自动化的漏洞扫描工具，对成千上万个子域名进行逐一探测，不放过任何一个可能的突破口。
六、攻击利用特征
攻击利用特征中包含“y1bs.shop”。这个看似普通的字符串可能是攻击者用来进行攻击的关键线索。它可能是一个恶意网站的域名、一个特定的攻击代码标识，或者是与攻击者组织相关的一个代号。例如，“y1bs.shop”可能是攻击者用来分发恶意软件或钓鱼链接的网站，通过诱导受害者访问该网站，从而植入恶意代码或窃取敏感信息。

攻击者 IP 地址为 211.141.203.70。其在 2021 年 12 月 1 日开始活跃，一直持续到 2024 年 8 月 2 日，活跃时间跨度较长。
从地理位置来看，该攻击者位于中国安徽省淮北市。其活跃行业主要集中在安徽地区的网站，具有较为明显的地域倾向。
在能力评价方面，此攻击者主要针对安徽的网站发动扫描攻击，展现出了较强的地域针对性。这意味着其可能对安徽地区的网络环境和网站结构有一定的了解，能够更精准地进行攻击。例如，可能熟悉安徽某些网站的常见漏洞或薄弱环节，从而提高攻击的成功率。
攻击利用特征如下：在攻击载荷的 URL 中使用了公共 DNS 平台 bxss.me。这一平台可能被用于隐藏攻击源或者进行恶意代码的解析。此外，该攻击者还访问了多种黑客工具以及与 VPN 相关的域名。这表明其具备获取和利用黑客工具的能力，并且可能试图通过 VPN 来隐藏自己的真实身份和攻击路径。同时，还使用了隐蔽链路 defvul.com，增加了攻击的隐蔽性和复杂性，使得追踪和防范变得更加困难。
从近期攻击行为来看，主要是进行漏洞扫描。漏洞扫描是攻击者常用的手段之一，通过扫描网站的漏洞，为后续的攻击行动提供信息和准备。比如，可能会扫描网站的开放端口、服务版本信息以及常见的软件漏洞等，然后根据扫描结果选择合适的攻击方式和工具。
综上所述，该攻击者具有一定的攻击能力和手段，对安徽地区的网站构成了潜在的威胁，相关网络安全部门和网站管理者应引起高度重视，加强防范和监测措施。

攻击者的 IP 地址为 175.24.229.108。其活跃时间集中在 2024 年 7 月 23 日至 2024 年 7 月 27 日，在这短短几天内实施了一系列攻击行为。
从地理位置上判断，该攻击者位于中国的上海市。其活跃的行业涵盖了石化、海运以及银行等多个重要领域。
在能力评价方面，在特定的专项期间，该攻击者启用了相关基础设施来实施攻击行为，并且对石化、海运、银行等目标展现出了较强的针对性。这表明攻击者很可能对这些行业进行了深入的研究和分析，熟悉这些行业的网络架构和潜在漏洞。比如，对于石化行业，可能了解其工业控制系统中可能存在的安全薄弱点；对于海运行业，或许清楚其航运管理系统的网络连接特点和潜在风险；对于银行行业，可能知晓其金融交易系统的防护机制和可能被突破的环节。
从近期攻击行为来看，主要是进行漏洞扫描。漏洞扫描是攻击者发动进一步攻击的前期准备工作。在石化行业，攻击者可能通过扫描寻找生产控制系统中未及时修补的软件漏洞或者网络配置缺陷，一旦发现漏洞，就有可能干扰生产流程甚至引发安全事故；在海运行业，可能扫描船舶管理系统或者港口运营系统的漏洞，以获取对船只或港口设施的非法控制权限；在银行行业，可能扫描银行的网络服务和业务系统，试图获取客户信息或者破坏金融交易的正常秩序。这些漏洞扫描行为如果不加以防范，可能会给相关行业带来巨大的损失和安全隐患。
综上所述，该攻击者的行为具有明确的目标性和潜在的危险性，相关行业的企业和安全机构必须高度警惕，加强网络安全防护措施，及时发现并阻止此类攻击行为的进一步发展。

攻击者的 IP 地址为 106.15.58.47。其活跃时间相对集中，在 2024 年 7 月 30 日开始出现活跃迹象，并一直持续到 2024 年 7 月 31 日。
从地理位置上确定，该攻击者位于中国的上海市。其活跃的行业主要针对政府领域，尤其是对统计局、法院等关键部门发起了攻击行为。
在能力评价方面，在特定的专项期间，攻击者启用了相应的基础设施来实施攻击活动。这种行为显示出其具有一定的资源调配和利用能力。针对统计局，统计局通常存储着大量重要的经济数据和统计信息，攻击者可能试图获取这些数据以达到某种不良目的。比如，经济数据如果被恶意篡改或窃取，可能会对经济决策、市场稳定等产生严重的负面影响。对于法院而言，法院的信息系统中包含着大量的司法案件信息、当事人隐私以及司法程序相关的数据，一旦遭到攻击，可能会破坏司法公正和权威，影响司法工作的正常开展。
从近期攻击行为来看，主要包括信息探测和漏洞扫描。信息探测是攻击者在攻击前的重要准备步骤，他们可能会通过各种手段来收集目标系统的信息，例如网络拓扑结构、开放的端口、运行的服务等。以统计局为例，攻击者可能会探测其网络中哪些服务器存储着关键数据，以及这些服务器所使用的操作系统和软件版本等信息。漏洞扫描则是为了寻找目标系统中可能存在的安全漏洞，为后续的攻击行为创造条件。在法院系统中，攻击者可能会扫描服务器和应用程序中存在的漏洞，以便利用这些漏洞入侵系统。比如，常见的软件漏洞、配置错误或者弱密码等都可能成为攻击者的突破口。
综上所述，该攻击者的行为具有明确的针对性和潜在的危害性，政府相关部门必须高度重视，加强网络安全防护体系，及时发现并阻断此类攻击行为，确保政府信息系统的安全稳定运行和数据的保密性、完整性。