360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器APT-C-48(CNC)组织近期钓鱼攻击活动分析报告
- 2026-06-22 10:39:06
APT-C-48 CNC
APT-C-48(CNC)是一个拥有南亚地区政府背景的APT组织,该组织主要攻击目标为政府、军工、教育、科研、医疗、媒体等行业。
近期,360安全大脑检测到该组织的多起定向钓鱼攻击活动,攻击者沿用经典社工手段,将恶意载荷伪装成个人简历诱导用户中招,本文将对其攻击链路展开详细分析。
01攻击活动分析
1. 攻击流程分析
通过钓鱼邮件下发恶意附件压缩包,该压缩包中内嵌了恶意的可执行文件,该可执行文件通过双后缀的形式伪装成PDF文档,文件名称则伪装成个人简历,旨在降低用户防备心理诱导用户双击打开该文件。接着通过连接服务器下载诱饵文档以及VBS脚本,通过脚本下载核心载荷并运行以达到远控受害者主机的目的。
2. 恶意载荷分析
2.1 初始投递样本(RAR + 伪装 EXE)
捕获的恶意样本如下所示:
MD5 | 18be51caa43a4944b39fb73442d61909 |
文件名称 | %userprofile%\downloads\个人简历_xx亮.rar |
文件类型 | 压缩包 |
MD5 | 972cc460d4646566cfcbeb3da4e567e9 |
文件名称 | 个人简历_xx亮\个人简历_xx亮.pdf .exe |
文件类型 | 可执行文件 |
当用户运行可执行文件后首先关闭控制台窗口,接着获取用户名信息,下阶段的URL则以加密的形式存放在代码中,解密过程为反转字符串+base64解码+异或+base64解码,密钥:6C 34 37 64 6A 41 73 30 62 23 6E 29 31 76 36 4C。
通过同样方式解密出多个 URL 后,样本连接服务器下载下一阶段脚本与诱饵文档:
URL | 本地文件 |
https[:]//efb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//gdfedjhcuef.vbs | C:\Users\xxxx\AppData\Local\Temp\RuntimeBroke.vbs |
https[:]//mnb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//res89ubashm23e.pdf | C:\Users\xxxx\Desktop\个人简历_xx亮.pdf |
最后通过CreateProcess函数打开诱饵文档,旨在迷惑用户,接着运行刚刚下载的VBS脚本文件(MD5:AA7FAF33E849513DC3BBD1C5A8F4CA48)。其中的诱饵文档则是伪造了个人简历。
该脚本的主要功能则是连接服务器下载最终的远控木马,URL地址为https[:]//klp.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//hfjfhruiefh.exe,首先将文件下载到临时目录下,接着检查文件是否下载成功,成功则将文件拷贝到C:\Users\Public\Pictures\SearchIndex.exe。
MD5 | 8D600D1CF269F21EE5BC78B5E0C6ECFE |
文件名称 | Search1ndexer.exe |
文件类型 | exe |
文件大小 | 4.24MB |
该样本文件大小为 4.24 MB,其中绝大部分体积来源于静态链接的 OpenSSL(经 vcpkg x64-windows-static-rel 配置构建),用于实现加密通信。
C2 地址通过异或加密,解密后为:185.243.112[.]142
创建Socket 并尝试连接 C2 服务器 185.243.112[.]142:443。
连接成功后,将原始 Socket 绑定到 SSL 对象,最后完成 TLS 握手,握手成功后即可实现加密通信。
接着发送上线包,上线包内容为”gem01ini”。样本创建 Socket 并尝试连接 185.243.112[.]142:443。
接着读取服务器发送的指令,指令为”download“则会将本地的文件上传至服务器,服务器会下发文件路径,文件打开成功则向服务器返回1,否则返回0。
如果指令不是”download“则会调用CMD执行下发的指令。
02归属研判
综合多条证据链,研判该活动与 APT-C-48(CNC)组织高度相关:
1.此次攻击活动依旧采用”招聘”、”简历”为话题作为诱饵文档进行投递,在以往的攻击活动中已经屡见不鲜,也是该组织的惯用方式。
2.以往某次攻击活动中,初始负载为下载器,通过连接服务器下载诱饵文档以及后续载荷,与本次分析样本一致。
3.核心载荷与以往分析的样本代码序列以及功能保持一致,同样使用Openssl进行加密流量传输。
再结合其攻击目标行业领域等信息,确认此次攻击活动由 APT-C-48(CNC)组织发起。
附录 IOC
MD5
18be51caa43a4944b39fb73442d61909
972cc460d4646566cfcbeb3da4e567e9
8D600D1CF269F21EE5BC78B5E0C6ECFE
AA7FAF33E849513DC3BBD1C5A8F4CA48
C2 & URL
efb.recume[.]ink
mnb.recume[.]ink
185.243.112.142:443
https[:]//efb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//gdfedjhcuef.vbs
https[:]//mnb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//res89ubashm23e.pdf
https[:]//klp.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//hfjfhruiefh.exe
360集团官网:www.360.cn
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
京公网安备 11000002000006号