Hvv 日记 威胁情报 8.6 （漏洞、IP、样本）

样本主题：**+**大学+新媒体与传播学专业.zip
SHA256:
78bd52a1af96ba0fe20adf1180f50d2382fbf8a1aab23f4ca8dbcf13785c5a8d
MD5: 8ce3642ece6e931cc907d432967d1148
相关 IP 和域名（非 IOC，仅可用于排查参考，不可封禁）：upgrade.k.sohu.com、
huiyan.lenovo.com.cn、static.asus.com.cn、smartpc.lenovo.com.cn、oary.10086.cn
攻击手法：域前置
北京微步在线科技有限公司 | www.threatbook.cn Page 7
分析结论：CobaltStrike 木马

样本主题：****有限责任公司-***业务需求文档 2024-8-4.exe
SHA256:
62fa9dbcdc3b54f0b2514562a60ea671fc437bb48ca2532ec206dbe7a0324a35
MD5: 1cb486cad770b8f4900f51076bfd2f4c
C2：8.129.83.98:443
分析结论：CobaltStrike 木马

样本主题：系统故障信息-xx.zip
SHA256:
326c32e59dd3dc6c319dd7c5e201d182a6d8cb6cea9466454bf709b49c4a662a
MD5: 0712866653a76b51aad1a033b761ed06
恶 意 软 件 ：ucucyt0saqbgua.oss-cn-heyuan.aliyuncs.com 、 pb09aj4bq4qz.oss-cnhangzhou.aliyuncs.com
相关 IP 和域名（非 IOC，仅可用于排查参考，不可封禁）：yun.jinshanju.com、
image.kuaiyingkeji.cn 、 yuzhuwork.com 、 58.220.52.248 、 113.96.109.223 、
106.227.100.228
攻击手法：域前置
分析结论：CobaltStrike 木马

样本主题：****能源投资-搅拌摩擦焊机详情-钉钉导出{2024 年 08 月-03 日}.rar
SHA256:
8e6978b3f19af93370743ec140ade4445477e0ee86b7ff870a1124314892608e
MD5: 6317a68be5add2418b5ac4c1982b6df5
相 关 IP 和域名 （ 非 IOC ，仅可用于排查参考，不可封禁） ：auto.163.com 、
images.pinpaijian.com
攻击手法：域前置
分析结论：CobaltStrike 木马

样本主题：绿色能源革命：小镇的可持续发展之路.zip
SHA256:
46bf8083c0fc483a2b1c494f9c69ca4ade6f321c68a326e9d7e807535f8e45a4
MD5: 4cad5576b23390aa531b774e4d513b10
相关 IP 和域名（非 IOC，仅可用于排查参考，不可封禁）：vangogh.bytedance.com、
news.163.com 、 passport.bytedance.com 、 learning.bytedance.com 、
staos.microsoft.com
攻击手法：域前置
分析结论：CobaltStrike 木马

样本主题：集中采购问题的反馈意见.exe
SHA256:
8588ddb14b18aadab200f51e40cfb8415fa17715276f7e04e1ca80d73af5ab0c
北京微步在线科技有限公司 | www.threatbook.cn Page 9
MD5: 0a7e6f7d791610dd811f492782b0ed0b
C2：1.94.21.143:4433
分析结论：CobaltStrike 木马

361ea69b74a5fd28591023f902c0c5c1
个人简历.pdf.exe

d06bed663cac318b42dfa0743c4a988d
关于材质硬度检测自动化工作站 项目反馈材料.exe

6fd13e06ced81f69367121100ce94516
云平台工程师岗-李路-个人简历.zip

b1b5c563e9fd9cc514eade50d4aba46e
广告投放需求文件打包.7z

de924b51d97c99473f67c62a960ff272
202407名单.rar

003ea106efbc10f34bab72f4223d2c95
A03执行查看（**钓鱼源文件）.zip

攻击者 IP 地址为：124.90.136.58。
其最近活跃的时间范围是从 2024 年 8 月 1 日开始，一直持续到 2024 年 8 月 2 日。
通过相关技术手段定位其地理位置在中国的浙江省杭州市。
活跃的行业主要集中在银行领域。在这一领域中，该攻击者于专项期间新启用了特定的基础设施，并且针对农村信用社等银行行业目标发动了攻击行为。经过专业的分析研判，可以确定其攻击行为具有较强的针对性，并非随意的攻击。
从近期的攻击行为表现来看，主要涉及漏洞扫描。漏洞扫描是一种常见的网络攻击手段，攻击者利用特定的工具对目标系统进行探测，查找可能存在的安全漏洞，以便后续利用这些漏洞进一步入侵系统或者获取敏感信息。例如，可能会扫描目标银行系统的网络端口、操作系统漏洞、应用程序漏洞等，一旦发现漏洞，就有可能尝试进行攻击和渗透。

IP 地址：47.94.217.9
活跃时间：从 2024 年 7 月 26 日起至 2024 年 8 月 2 日，在这一段时间内保持活跃状态。
地理位置：位于中国的首都北京市。
活跃行业：主要活跃在统计局和法院领域。在专项期间，该攻击者新启用了基础设施，近期对统计局、法院等目标的多个子域名发起了攻击行为。值得注意的是，攻击者在攻击过程中多使用自动化工具，从攻击特征和模式来看，疑似是红队所使用的探测节点。
能力评价：能够利用新的基础设施发起攻击，并且采用自动化工具，具有一定的技术能力和攻击策略规划能力，能够针对特定的子域名进行攻击，显示出其对目标的选择和攻击路径有一定的思考和准备。
近期攻击行为：主要是进行漏洞扫描，通过漏洞扫描来寻找目标系统可能存在的安全漏洞，为后续的进一步攻击做准备。

IP 地址：对象 2 存在两个 IP 地址，分别是 122.10.71.95 和 122.10.14.223。
活跃时间：活跃时间为 2024 年 7 月 29 日至 2024 年 8 月 1 日。
地理位置：位于中国的香港特别行政区。
活跃行业：活跃在新闻、医疗、政府等多个行业领域。在专项期间同样新启用了基础设施，并且发现其存在对多个行业的批量扫描行为。不过，其使用的漏洞相对较老，攻击手法也过于直接，这在一定程度上降低了攻击的隐蔽性和复杂性。
能力评价：虽然能够新启用基础设施并进行批量扫描，但由于使用较老的漏洞和过于直接的攻击手法，显示其技术水平和攻击策略可能存在一定的局限性。不过，其能够同时对多个行业发起攻击，也说明具有一定的攻击范围拓展能力。
攻击利用特征：发现存在批量的 webshell 利用行为，包括 thinkphp 写入 webshell、ueditor 写入 webshell 以及扫描行为。同时还使用到隐蔽链路 122.10.14.223，这表明攻击者在一定程度上试图隐藏自己的攻击痕迹和来源。
近期攻击行为：包括漏洞扫描和 webshell 利用。漏洞扫描用于寻找系统漏洞，而 webshell 利用则可以让攻击者在获取 webshell 后更方便地对目标系统进行操作和控制。

IP 地址：180.101.145.200
活跃时间：仅在 2024 年 8 月 4 日当天活跃。
地理位置：位于中国的江苏省苏州市。
活跃行业：主要活跃在金融领域。在专项期间新启用了基础设施，并且发现其对公积金相关网站具有针对性的攻击行为，这表明攻击者对目标的选择具有明确的指向性和针对性。
能力评价：能够精准地选择公积金相关网站作为攻击目标，显示出其对金融领域有一定的了解和目标定位能力。同时，新启用基础设施也说明其具备一定的资源调配和攻击准备能力。
攻击利用特征：发现使用了公共隐蔽链路 gobygo.net，这可能是为了隐藏自己的真实 IP 地址和攻击路径，增加攻击的隐蔽性。
近期攻击行为：包括目录扫描、sql 注入、struts2 漏洞攻击。目录扫描可以帮助攻击者了解目标网站的文件结构和目录信息，sql 注入和 struts2 漏洞攻击则是常见的利用系统漏洞获取非法权限或数据的攻击手段。