针对造药行业及政企的黑客组织最新攻击活动深度分析

颁布功夫 2019-11-07

近期，，，，，，，8827太阳集团ADLab发现大量使用高危缝隙CVE-2017-11882进行网络攻击的事务，，，，，，，其中一批攻击载荷引起了8827太阳集团把稳，，，，，，，他们均以类似“付款收条”、“银行确认”等字样作为攻击载荷名称。。。。。该批攻击载荷大部门通过邮件附件的方式进行垂钓攻击，，，，，，，在分析过程中，，，，，，，我们发现了黑客的窝点并找到了受害人有关信息，，，，，，，此批黑客已经成功渗入进了德国和印度尼西亚的多家造药企业，，，，，，，以及西班牙确当局、企事业单元等机构，，，，，，，并且盗取了大量的敏感谍报。。。。。我们通过溯源分析确定这次攻击来自于尼日利亚，，，，，，，并且由当前攻击关联出了更多黑恶意域名和样本。。。。。通过对该批样本的分析发现这次攻击活动最早可追忆到2019年7月，，，，，，，截至目前，，，，，，，有关的设施依然在使用中并持续在网络谍报信息。。。。。该黑客组织还攻下了西班牙一家大型船舶治理公司的官方网站作为谍报窃取的奥秘回传点，，，，，，，试图暗藏自身身份。。。。。

在本次攻击中，，，，，，，黑客组织通过邮件将精心机关的Office文件（针对CVE-2017-11882缝隙造作的）作为附件发送给指标邮箱，，，，，，，并诱使受害者点击以侵入指标系统（固然这种以社工大局找到指标邮箱并通过邮件的方式进行攻击的手法老套，，，，，，，但却是黑客最常用的攻击手法之一，，，，，，，并且结合社工信息伪造的邮件也拥有很高的成功率, 部门行业和企事业单元由于未进行有关缝隙补丁更新而易受到攻击）。。。。。攻击载荷会凭据地理地位的分歧而在受害者电脑高低载并装置Agent Tesla、HawEye Keylogger、NanoCore RAT或NetWire RAT等多款间谍木马，，，，，，，以对攻击指标执行持久的监控节造、敏感信息窃取等恶意行为。。。。。

本文将对黑客组织所执行的攻击过程进行具体地分析和溯源，，，，，，，并对其所使用的间谍软件和基础设施进行透辟地分析。。。。。

1、攻击过程分析

这次攻击始于一个携带CVE-2017-11882缝隙的EXCEL文档，，，，，，，黑客使用假装成“银行确认”的垂钓邮件发送给攻击指标，，，，，，，当用户打开文档后便会执行shellcode代码，，，，，，，并从指定的服务器高低载Payload并执行。。。。。该Payload会在内存中解密出新的PE并注入到系统过程RegAsm.exe中，，，，，，，成功注入后便起头进行实时监控、窃密等行为，，，，，，，最终将窃取到的用户信息回传到托管服务器。。。。。

1.1 攻击流程

下图展示了这次攻击活动齐全的流程：

8827太阳集团(Macau)股份有限公司-Official website

图1 攻击流程图

1.2 攻击指标

被攻击公司信息及有关邮件1：

垂钓邮件是分发到德国的一家家族企业公司。。。。。该公司是专门钻研动植物原料的提取，，，，，，，其重要业务是钻研造药、化妆品和生物等技术。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图2 指标公司1

通过图2能够看到，，，，，，，攻击者能够从该公司的主页上获取邮箱地址，，，，，，，并将自身假装成“付款确认”等通知邮件，，，，，，，诱使受害者打开附件文档。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3 垂钓邮件1

被攻击公司信息及有关邮件2：

另一名受害者是德国的一家医疗药品器械公司。。。。。该收件邮箱地址同样可在其官网上获取。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4 指标公司2

发送给指标公司的垂钓邮件示例如下图：

图5 垂钓邮件2

两起垂钓邮件的附件均是名为“bank cconfirmation”的XLSX文档，，，，，，，而该附件文件是我们捕获的多多使用CVE-2017-11882缝隙的恶意文档之一。。。。。

1.3 钓饵邮件

两封邮件的内容、发件人以及恶意文档的名称，，，，，，，均维持着高度的一致性。。。。。随后，，，，，，，我们将对邮件信息做进一步的分析，，，，，，，以便挖掘出更多的关联线索。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图6 邮件头部信息

通过对邮件信息进行解析能够看到如图6所示，，，，，，，发件地址里列出的现实电子邮件地址为”mana00.balaempre.com”。。。。。凭据邮箱后缀名进行查问，，，，，，，发显熹所对应的是一款名为“AutoPMTA”的自动化电子邮件分发服务器，，，，，，，并在国表的网站中凭据具体职能收取分歧的用度。。。。。由此我们揣摩黑客组织就是利用此款软件来进行邮箱地址的网络和邮件的批量分发。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图7 AutoPMTA邮件分发器

而在另一封邮件中，，，，，，，我们初次发现了一个属于尼日利亚的远程IP地址，，，，，，，该线索的呈此刻后续的关联溯源中起着沉要的作用，，，，，，，在这里先将其纪录下来。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图8 IP地址查问信息

2、样本分析

2.1 恶意文档

在未建复CVE-2017-11882缝隙的推算机上，，，，，，，当用户打开恶意EXCEL文件时，，，，，，，Office文档中的公式编纂器会启动EQNDT32.EXE过程。。。。。当Equation对象中存在象征为字体名称的超长字节流，，，，，，，则法式在处置该字符串的过程中，，，，，，，会触发栈溢露马脚。。。。。而此恶意文档就是利用该缝隙将指向shellcode的栈地址覆盖了原始返回地址，，，，，，，从而执行远程payload的下载。。。。。

查看ole对象的目录结构，，，，，，，能够看到ole对象已被鉴别为CVE-2017-11882：

8827太阳集团(Macau)股份有限公司-Official website

图9 OLE对象的目录结构

由于该缓冲区溢出函数处于EQNDT32过程中，，，，，，，所以我们提前将EQNDT32.EXE加载起来并找到缝隙溢出处下断点，，，，，，，沉新打开钓饵文档后，，，，，，，发现栈中返回地址0x004115D8被覆盖，，，，，，，从而转向shellcode执行。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图10 栈中保留的原始函数返回地址

8827太阳集团(Macau)股份有限公司-Official website

图11 被覆盖后的函数返回地址

2.2 shellcode

Retn执行后法式会转到0x0012F350处，，，，，，，这里存放的就是FONT[name]数据，，，，，，，也就是shellcode代码地位。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图12 shellcode代码执行处

该段shellcode的职能是，，，，，，，将远程服务器“http[:]//34.87.19.73/pqis/11a.exe”上的Payload下载到本地，，，，，，，并保留为“%AppData%Roaming\powerpoint.exe”，，，，，，，最后运行该法式。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图13 联网下载Payload

2.3 Payload

名为11a.exe的Payload是使用MS Visual Basic说话编写的。。。。。当恶意法式运行时，，，，，，，会在系统一时目录下先创建“subfolder”子目录并天生两个文件（explorer.exe和explorer.vbs），，，，，，，接着运行explorer.vbs剧本并实现自身过程。。。。。explorer.vbs剧本的具体内容如下图：

8827太阳集团(Macau)股份有限公司-Official website

图14 explorer.vbs剧本内容

从图14的VBS文件内容能够看出，，，，，，，剧本中使用了wscript shell号令做了两件事。。。。。首先将自身增长到注册表开机自启动项中，，，，，，，以便每次在系统启动时都能自动运行explorer.vbs文件，，，，，，，用以实显熹悠久性；；；；；；其次，，，，，，，运行可执行文件explorer.exe。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图15 增长注册表项

2.4 Agent Tesla

通过度析，，，，，，，能够确定explorer.exe法式是臭名远扬的间谍软件“Agent Tesla”。。。。。该木马运行后会立即沉新创建一个挂起的自身子过程。。。。。子过程的有关属性如下图：

8827太阳集团(Macau)股份有限公司-Official website

图16 子过程属性信息

而后子过程会从资源数据中解密出另一个由.NET编写的PE文件，，，，，，，其将会在内存中直接运行。。。。。下图是在分析工具中显示的该.NET法式的重要职能：

8827太阳集团(Macau)股份有限公司-Official website

图17 重要职能代码部门截图

该法式会尝试接见“checkup[.]amazonaws.com”，，，，，，，以此来获取本地机械的表网IP地址。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图18 获取本地IP地址

从图17的内容能够看到，，，，，，，法式代码使用了混合技术来增长分析难度。。。。。此表，，，，，，，其还会对VM、沙箱、调试器和其他监控工具等做一系列的检测。。。。。如运行环境安全，，，，，，，.NET法式则起头监督并网络受害者的信息，，，，，，，并使用SMTP和谈将监控日志发送给远程服务器“smtp[.]diagnosticsystem.in”。。。。。

Agent Tesla家族

基于已知的有关资料，，，，，，，从2014年起迄今为止，，，，，，，Agent Tesla已存活长达5年之久。。。。。随着功夫的推移，，，，，，，该木马在陆续不休的迭代更新，，，，，，，最新版本目前可凭据需要在互联网上轻易采办。。。。。

Agent Tesla可实时监控和纪录用户的键盘输入、窃取剪切板数据、屏幕截图、获取主机信息，，，，，，，以及网络各大浏览器和邮箱的用户凭证并回传至黑客服务器。。。。。也正由于其职能极度壮大，，，，，，，所以近几年以来时时被黑客组织所利用。。。。。

下图是从其网站上摘取下来的部门职能介绍：

8827太阳集团(Macau)股份有限公司-Official website

图19 Agent TeslaX有关职能

截止到目前，，，，，，，鉴于我们分析的这款新变种和旧版的木马在职能和技术上类似，，，，，，，并没有发现太多的变动点。。。。。所以本文在这里不再过多的具体描述其具体的技术细节，，，，，，，如有必要各人可查看文末的参考文件。。。。。

3、溯源与关联分析

3.1 恶意域名分析

我们首先从恶意文档触发缝隙后执行的shellcode中提取出一个硬编码的链接地址：“http[:]//34.87.19.73/”。。。。。经过后盾大数据的样本关联分析后，，，，，，，从该托管的表部主机上挖掘出该黑客组织自2019年9月起使用的诸多类型的间谍木马。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图20 托管主机上的木马信息统计

接着，，，，，，，提取该批木马样本使用的C2域名进一步的关联出部门可疑的CC地址。。。。。例如，，，，，，，部门木马会将SMTP流量发送到smtp[.]diagnosticsystem.in，，，，，，，而该域名解析的IP地址为208[.]91[.]199[.]143。。。。。

DNS查问此域名，，，，，，，发显熹注册功夫为2019年9月19日，，，，，，，这与该批木马的传布肇始功夫正好吻合。。。。。域名查问信息如下图：

8827太阳集团(Macau)股份有限公司-Official website

图21 域名的注册功夫

再次对线索做扩大和对该域名进行深刻的追踪分析后，，，，，，，我们获得了更多的恶意样本，，，，，，，以及这些域名曾解析到的主机IP地址。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图22 域名解析的IP地址

我们从获取的大量恶意样本中整顿出近期比力活跃的，，，，，，，通过手动分析确定了这次攻击活动中使用的大量C2域名。。。。。经过查问解析后发现，，，，，，，这些域名均是以上IP地址“208.91.199.**”和“208.91.198.143”的CNAME“us2.smtp.mailhostbox.com”的别号。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图23 域名查问信息

图中列举了部门活跃样本和其接见的域名，，，，，，，具体对应关系如下所示：

8827太阳集团(Macau)股份有限公司-Official website

图24 恶意样本与C&C服务器的关系图

3.2 关联邮件

凭据同源分析，，，，，，，我们发现了另表一封针对西班牙地域的垂钓邮件。。。。。该邮件的发件地址是西班牙一家名为“MAJ AGROQUIMICOS”的农药行业公司。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图25 MAJ AGROQUIMICOS公司首页

邮件内容使用的是西班牙语，，，，，，，大体意思是付款确认书，，，，，，，垂钓邮件的附件是一个假装成.img体式的ISO文件。。。。。固然文件名称与邮件的内容有所分歧，，，，，，，但是从发件地址来看，，，，，，，其起源也有可能会是攻击指标的合作商或供给商之类，，，，，，，这样便可增长邮件的真实性，，，，，，，同样有机遇诱使受害者下载附件。。。。。邮件具体内容如下图所示：

8827太阳集团(Macau)股份有限公司-Official website

图26 西班牙语的垂钓邮件

8827太阳集团(Macau)股份有限公司-Official website

图27 邮件翻译后的内容

3.3 ISO文件

ISO映像是一种光盘的存档文件，，，，，，，其中蕴含将要写入光盘的所有信息。。。。。通常用于创建CD或DVD的备份。。。。。由于ISO文件的尺寸相对比力大，，，，，，，所以有可能导致好多电子邮件网关扫描法式无法正确鉴别此类型的附件。。。。。并且自Win 8及以上的更高版本后，，，，，，，Windows都自带ISO运行工具，，，，，，，用户就像打开EXE文件一样，，，，，，，直接双击ISO文件即可运行。。。。。因而这次攻击中黑客使用了ISO文件作为恶意附件。。。。。

3.4 恶意附件

嵌入在IOS恶意附件中的可执行文件如下图所示：

8827太阳集团(Macau)股份有限公司-Official website

图28 嵌入的可执行文件

嵌入的可执行文件

使用分析工具能够看到，，，，，，，这个名为“SOA300329042943243_pdf.exe”的可执行文件现实上是一个AutoIt诠释器，，，，，，，并嵌入了AutoIt编译剧本作为资源。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图29 可执行文件的资源信息

该可执行文件运行后，，，，，，，会在%User\Public%目录下开释恶意的VBS剧本文件并将该目录增长到注册表的Run启动项中，，，，，，，以实显熹悠久性。。。。。接着再将内存中解密出的的PE文件注入到系统文件“Regasm.exe”中。。。。。

图30 在注册表中增长自启动项

新PE文件

通过度析内存中解密出的新PE文件，，，，，，，我们确定该EXE是另一版使用.NET框架编写的Agent Tesla木马。。。。。在木马法式成功注入到Regasm.exe过程并运行后，，，，，，，便起头尝试与远程服务器进行衔接。。。。。

我们在恶意代码分析过程中发现了黑客C&C服务器上的有关信息，，，，，，，C&C文件目录如下图：

8827太阳集团(Macau)股份有限公司-Official website

图31 服务器上的文件目录

通过进一步的分析，，，，，，，我们发现C&C服务器上保留着大量的从受害者机械回传的监控日志，，，，，，，凭据其贮存的文件名称体式和内容等特点，，，，，，，再次确定该木马是“Agent Tesla”家族。。。。。

尔后，，，，，，，我们还追踪到了该黑客组织所网络的受害者信息，，，，，，，这些信息以html和jpeg文件的大局存储在C&C服务器上，，，，，，，其中html存储的是本机信息、键盘纪录、账号密码等信息，，，，，，，jpeg存储的是截屏信息。。。。。下图是截取了部门监控日志：

8827太阳集团(Macau)股份有限公司-Official website

图32 回传到服务器的监控日志

从这些文件名中的：“Keystrokes”（键盘纪录）、“Screen”（屏幕截）、“Recovered”（密码复原）等关键字能够看出，，，，，，，木马是凭据黑客的节造指令来窃取受害者的有关信息，，，，，，，且依照“职能-用户名-推算机名-功夫（年-月-日-时-分-秒）”的结构定名并保留为HTML体式的文件。。。。。

我们将一个以“Recovery”开头的html文件使用IE浏览器打开，，，，，，，可能看到木马具体网络了哪些信息。。。。。其中蕴含受害者的推算机用户名、主机信息、系统名称、CPU信息、内存信息、IP地址以及Chrome浏览器痛处信息等。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图33 HTML文件的内容详情

3.5 基础设施分析

通过网络与该C&C服务器有关的回传信息进行整顿分析后，，，，，，，我们发现了几个关键信息。。。。。结合前文中网络到的线索，，，，，，，我们进一步简直认了该服务器是被黑客组织攻下后，，，，，，，专门用作接管木马回传受害者信息的服务器。。。。。而该组织早在7月份的时辰就已起头执行攻击活动，，，，，，，并且受害者无数是来自于西班牙地域的企事业单元工作人员。。。。。黑客组织惯于利用Agent Tesla或Hawkeye Keylogger、Nanocore RAT和NetWire RAT等间谍木马来窃取指标人员的登录凭证等信息，，，，，，，且这次攻击活动是由来自于尼日利亚的黑客组织策动与执行。。。。。

3.5.1 受攻击服务器分析

我们把稳到，，，，，，，W-EAGLE目录下保留着一个名为“W-EAGLE PMS Deck.zip”的压缩包。。。。。解压并打开某DOC文档，，，，，，，发现这是一个带着公司logo的西班牙语文件，，，，，，，标题在谷歌翻译为“船面打算的守护/查抄手册”。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图34 W-EAGLE目录下的文件内容

凭据公司名称搜索后证实，，，，，，，这是西班牙一家大型船舶治理公司，，，，，，，重要从事干散货船的运营。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图35 W MARINE INC公司主页信息

如图35所示，，，，，，，该公司的网址同黑客所使用的服务器名称一样，，，，，，，由此证明此服务器现实是属于此公司。。。。。并且凭据服务器上保留的与该公司有关的文档创建功夫是2016年10月中下旬左右，，，，，，，我们猜测此服务器因持久被闲置而无人守护，，，，，，，以至被黑客组织加以利用。。。。。

3.5.2 监控日志信息

我们将数量近2万的监控日志进行整顿分析，，，，，，，数据显示黑客组织现实上从2019年7月便已起头处于活跃状态，，，，，，，受害者的主机信息以及幼我登录凭证持续的被回传到此服务器上。。。。。截止目前为止，，，，，，，Keystrokes文件的占比率相对比力大，，，，，，，其次是Screen文件，，，，，，，Recoverey文件相对较少。。。。。不仅如此，，，，，，，我们监测到此类文件在服务器上依然不间断的新增。。。。。

文件类型	创建功夫	文件数量
Keystrokes	2019年7月16日	8383
Screen	2019年8月10日	5447
Recovery	2019年7月16日	3859

表1 服务器上的日志统计

3.5.3 受害者地域和行业散布

受害者IP地址重要散布在西班牙、印度，，，，，，，以及少量来自阿联酋和墨西哥地域，，，，，，，其或许占比率如下图：

8827太阳集团(Macau)股份有限公司-Official website

图36 受害者地域散布图

基于我们对黑客组织的攻击信息统计显示，，，，，，，这次攻击活动涉及到西班牙地域的市当局、农业机械行业、水利工程行业和对表业务行业，，，，，，，以及印度和阿联酋等其他行业。。。。。下表展示了部门的有关统计信息：

公司名称	公司信息
FEMAC	位于西班牙的一家农业机械公司
XUNTA DE GALICIA	西班牙加利西亚地域的费斯特拉市政厅
ICINCO	位于西班牙加纳利群岛的构筑水利工程公司
GALACANARIA	位于西班牙大加纳利群岛的一家食品，，，，，，，饮料和烟草批发业务公司
AIRSAT	西班牙一家互联网供给商
Al Serh Al Kabeer	位于阿联酋的一家构筑公司
AFS Logistics International Pvt.Ltd	位于印度的一家国际物流货运代理公司
Vanity Case	位于印度的一家天然护肤产品分销商
sanbe-farma	印度尼西亚本地当先的造药公司

表2 被攻击的部门公司信息

3.5.4 黑客的归属地位

此表，，，，，，，我们还把稳到一些HawkEye Keylogger日志似乎是从黑客的电脑中上传的，，，，，，，文件名中的HawkEye Keylogger和编号Rebornv9（该木马的最新版本号），，，，，，，以及关键字“PasswordsLogs”和“TestLogs”等，，，，，，，疑似是黑客的测试日志。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图37 测试日志截图

日志文本里具体列出了黑客组织几个用于测试的邮箱登录凭证，，，，，，，部门信息如下。。。。。

示例1：

8827太阳集团(Macau)股份有限公司-Official website

图38 日志信息截图1

8827太阳集团(Macau)股份有限公司-Official website

图39 Movistar邮箱登录界面

示例2：

8827太阳集团(Macau)股份有限公司-Official website

图 40 日志信息截图2

8827太阳集团(Macau)股份有限公司-Official website

图41 Suite Correo Profesional 邮箱登录界面

我们提取出了该日志的IP地址“197.210.226.51”。。。。。查问后得出该地址位于尼日利亚地域：

8827太阳集团(Macau)股份有限公司-Official website

图42 IP地址查问后的有关信息

此表，，，，，，，在另表的Keystrokes日志中再次发现的IP地址“41.203.73.185”与前文中我们纪录的IP地址一样，，，，，，，其也是指向尼日利亚地域。。。。。具体信息如下图：

8827太阳集团(Macau)股份有限公司-Official website

图43 Keystrokes日志中的信息

而后，，，，，，，我们从同源的Recovery日志中找到了黑客不幼心泄露的国表ANY.RUN（在线恶意软件沙箱）平台的账号和密码。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图44 Recovery日志中的信息

成功登录后查看扫描汗青，，，，，，，我们能够看到黑客组织在7月份的时辰便起头将木顿时传进行查杀检测。。。。。同时凭据沙箱扫描了局显示，，，，，，，再次确认该批木马属于Agent Tesla和HawkEye Keylogger家族。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图45 ANY.RUN上传汗青纪录

4、总结

持久以来，，，，，，，用以窃取敏感信息的间谍木马一向在不休的更新换代。。。。。随着灰色市场的鼓起，，，，，，，键盘纪录法式、窃密法式和远控法式在逐步地趋向于贸易化，，，，，，，以至于攻击者在此方面毋庸投入太多的功夫和精力，，，，，，，而将关注点放在其攻击伎俩和社会工程学的能力上。。。。。

通过对服务器上持续更新的回传文件监测，，，，，，，我们能够看出该黑客组织的攻击活动在持续进行，，，，，，，受害者的人数依然呈上升趋向。。。。。此表，，，，，，，通过对攻击活动的溯源和后盾数据统计，，，，，，，我们猜测后续的攻击指标沉点左袒于西班牙和印度等地域。。。。。

在此8827太阳集团ADLab提醒各企业单元及幼我用户提高警惕，，，，，，，不从来历不明的网站下载软件，，，，，，，不要等闲点击起源不明的邮件附件，，，，，，，不要轻易启用宏，，，，，，，实时下载补丁建复。。。。。

IOC：

SHA-256

DE01B6A27D4EBA814FE3CE5084CFC23FDEEB47D50F8BEC5A973578E66B768A48

D5F2418628B818FCFFDD7F3A31F9A137761FA307D1C05C9B783E9040E008DE90

CA56DAD3CABD5AD85411B88C5E094055BEAA96DF6F9B37B9E9FD03AFF823CBAF

4DE32AD800A7847510925D34142B16AE6D7C3C0E44E33EC54466F527FCC93F41

F183992B4BC36F3B33F967EAB83B53A2448260ADA4A92A4B86F32284285EEFED

D6F5AAD82A21C384171BC8FE1BFBC47867151CCE9E8FA54FA21903191A63FD9E

BB3A12EDEFB5A96D6BDBFDC86ED125757ABC3C479EDAF485444A05F4A1D9F9B6

0514990857770F5AF20C96B97D7B63DC8248593D223A672D60C5C6479910C84B

1DD9B3CBB1AAC20E3A3954A1CFBE1BC8CB746C1BF446512A0AB6795546A9774F

C2域名

smtp[.]diagnosticsystem[.]in

kartelicemoneyy[.]duckdns[.]org

virtualhost19791[.]duckdns[.]org

参考链接：

https://www.fortinet.com/blog/threat-research/in-depth-analysis-of-net-malware-javaupdtr.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研

针对造药行业及政企的黑客组织最新攻击活动深度分析

关于8827太阳集团

解决规划

安全钻研

联系8827太阳集团

7*24幼时服务热线