Hvv 日记 威胁情报 8.6 (漏洞、IP、样本)
Hvv 日记 威胁情报 8.6 (漏洞、IP、样本)
Khan安全团队 2024-08-07 09:49
漏洞
H3C iMC 智能管理中心 远程代码执行漏洞
恶意IP
39.104.70.180 漏洞利用
121.199.165.46 漏洞利用
119.145.128.76 漏洞利用
60.14.228.23 漏洞利用
1.13.197.135 漏洞利用
112.124.21.200 漏洞利用
114.55.130.190 漏洞利用
114.55.227.133 漏洞利用
恶意样本
样本主题:**+**大学+新媒体与传播学专业.zip
SHA256:
78bd52a1af96ba0fe20adf1180f50d2382fbf8a1aab23f4ca8dbcf13785c5a8d
MD5: 8ce3642ece6e931cc907d432967d1148
相关 IP 和域名(非 IOC,仅可用于排查参考,不可封禁):upgrade.k.sohu.com、
huiyan.lenovo.com.cn、static.asus.com.cn、smartpc.lenovo.com.cn、oary.10086.cn
攻击手法:域前置
北京微步在线科技有限公司 | www.threatbook.cn Page 7
分析结论:CobaltStrike 木马
样本主题:****有限责任公司-***业务需求文档 2024-8-4.exe
SHA256:
62fa9dbcdc3b54f0b2514562a60ea671fc437bb48ca2532ec206dbe7a0324a35
MD5: 1cb486cad770b8f4900f51076bfd2f4c
C2:8.129.83.98:443
分析结论:CobaltStrike 木马
样本主题:系统故障信息-xx.zip
SHA256:
326c32e59dd3dc6c319dd7c5e201d182a6d8cb6cea9466454bf709b49c4a662a
MD5: 0712866653a76b51aad1a033b761ed06
恶 意 软 件 :ucucyt0saqbgua.oss-cn-heyuan.aliyuncs.com 、 pb09aj4bq4qz.oss-cnhangzhou.aliyuncs.com
相关 IP 和域名(非 IOC,仅可用于排查参考,不可封禁):yun.jinshanju.com、
image.kuaiyingkeji.cn 、 yuzhuwork.com 、 58.220.52.248 、 113.96.109.223 、
106.227.100.228
攻击手法:域前置
分析结论:CobaltStrike 木马
样本主题:****能源投资-搅拌摩擦焊机详情-钉钉导出{2024 年 08 月-03 日}.rar
SHA256:
8e6978b3f19af93370743ec140ade4445477e0ee86b7ff870a1124314892608e
MD5: 6317a68be5add2418b5ac4c1982b6df5
相 关 IP 和域名 ( 非 IOC ,仅可用于排查参考,不可封禁) :auto.163.com 、
images.pinpaijian.com
攻击手法:域前置
分析结论:CobaltStrike 木马
样本主题:绿色能源革命:小镇的可持续发展之路.zip
SHA256:
46bf8083c0fc483a2b1c494f9c69ca4ade6f321c68a326e9d7e807535f8e45a4
MD5: 4cad5576b23390aa531b774e4d513b10
相关 IP 和域名(非 IOC,仅可用于排查参考,不可封禁):vangogh.bytedance.com、
news.163.com 、 passport.bytedance.com 、 learning.bytedance.com 、
staos.microsoft.com
攻击手法:域前置
分析结论:CobaltStrike 木马
样本主题:集中采购问题的反馈意见.exe
SHA256:
8588ddb14b18aadab200f51e40cfb8415fa17715276f7e04e1ca80d73af5ab0c
北京微步在线科技有限公司 | www.threatbook.cn Page 9
MD5: 0a7e6f7d791610dd811f492782b0ed0b
C2:1.94.21.143:4433
分析结论:CobaltStrike 木马
361ea69b74a5fd28591023f902c0c5c1
个人简历.pdf.exe
d06bed663cac318b42dfa0743c4a988d
关于材质硬度检测自动化工作站 项目反馈材料.exe
6fd13e06ced81f69367121100ce94516
云平台工程师岗-李路-个人简历.zip
b1b5c563e9fd9cc514eade50d4aba46e
广告投放需求文件打包.7z
de924b51d97c99473f67c62a960ff272
202407名单.rar
003ea106efbc10f34bab72f4223d2c95
A03执行查看(**钓鱼源文件).zip
攻击者 IP 地址为:124.90.136.58。
其最近活跃的时间范围是从 2024 年 8 月 1 日开始,一直持续到 2024 年 8 月 2 日。
通过相关技术手段定位其地理位置在中国的浙江省杭州市。
活跃的行业主要集中在银行领域。在这一领域中,该攻击者于专项期间新启用了特定的基础设施,并且针对农村信用社等银行行业目标发动了攻击行为。经过专业的分析研判,可以确定其攻击行为具有较强的针对性,并非随意的攻击。
从近期的攻击行为表现来看,主要涉及漏洞扫描。漏洞扫描是一种常见的网络攻击手段,攻击者利用特定的工具对目标系统进行探测,查找可能存在的安全漏洞,以便后续利用这些漏洞进一步入侵系统或者获取敏感信息。例如,可能会扫描目标银行系统的网络端口、操作系统漏洞、应用程序漏洞等,一旦发现漏洞,就有可能尝试进行攻击和渗透。
IP 地址:47.94.217.9
活跃时间:从 2024 年 7 月 26 日起至 2024 年 8 月 2 日,在这一段时间内保持活跃状态。
地理位置:位于中国的首都北京市。
活跃行业:主要活跃在统计局和法院领域。在专项期间,该攻击者新启用了基础设施,近期对统计局、法院等目标的多个子域名发起了攻击行为。值得注意的是,攻击者在攻击过程中多使用自动化工具,从攻击特征和模式来看,疑似是红队所使用的探测节点。
能力评价:能够利用新的基础设施发起攻击,并且采用自动化工具,具有一定的技术能力和攻击策略规划能力,能够针对特定的子域名进行攻击,显示出其对目标的选择和攻击路径有一定的思考和准备。
近期攻击行为:主要是进行漏洞扫描,通过漏洞扫描来寻找目标系统可能存在的安全漏洞,为后续的进一步攻击做准备。
IP 地址:对象 2 存在两个 IP 地址,分别是 122.10.71.95 和 122.10.14.223。
活跃时间:活跃时间为 2024 年 7 月 29 日至 2024 年 8 月 1 日。
地理位置:位于中国的香港特别行政区。
活跃行业:活跃在新闻、医疗、政府等多个行业领域。在专项期间同样新启用了基础设施,并且发现其存在对多个行业的批量扫描行为。不过,其使用的漏洞相对较老,攻击手法也过于直接,这在一定程度上降低了攻击的隐蔽性和复杂性。
能力评价:虽然能够新启用基础设施并进行批量扫描,但由于使用较老的漏洞和过于直接的攻击手法,显示其技术水平和攻击策略可能存在一定的局限性。不过,其能够同时对多个行业发起攻击,也说明具有一定的攻击范围拓展能力。
攻击利用特征:发现存在批量的 webshell 利用行为,包括 thinkphp 写入 webshell、ueditor 写入 webshell 以及扫描行为。同时还使用到隐蔽链路 122.10.14.223,这表明攻击者在一定程度上试图隐藏自己的攻击痕迹和来源。
近期攻击行为:包括漏洞扫描和 webshell 利用。漏洞扫描用于寻找系统漏洞,而 webshell 利用则可以让攻击者在获取 webshell 后更方便地对目标系统进行操作和控制。
IP 地址:180.101.145.200
活跃时间:仅在 2024 年 8 月 4 日当天活跃。
地理位置:位于中国的江苏省苏州市。
活跃行业:主要活跃在金融领域。在专项期间新启用了基础设施,并且发现其对公积金相关网站具有针对性的攻击行为,这表明攻击者对目标的选择具有明确的指向性和针对性。
能力评价:能够精准地选择公积金相关网站作为攻击目标,显示出其对金融领域有一定的了解和目标定位能力。同时,新启用基础设施也说明其具备一定的资源调配和攻击准备能力。
攻击利用特征:发现使用了公共隐蔽链路 gobygo.net,这可能是为了隐藏自己的真实 IP 地址和攻击路径,增加攻击的隐蔽性。
近期攻击行为:包括目录扫描、sql 注入、struts2 漏洞攻击。目录扫描可以帮助攻击者了解目标网站的文件结构和目录信息,sql 注入和 struts2 漏洞攻击则是常见的利用系统漏洞获取非法权限或数据的攻击手段。
Hvv 日记 威胁情报 8.1(0day & 多个恶意样本标记)