목차
- 개요
- 주요 목표
- 영향을 받는 산업
- 지리적 초점.
- 초기 조사 결과.
- 미끼 문서를 살펴보니 – 나
- 미끼 문서 살펴보기 – II
- 감염 사슬.
- 기술 분석
- 1단계 – 악성 LNK 스크립트 및 VBScript.
- 2단계 – 악성 코발트 공격 신호기.
- 사냥과 인프라.
- 맺음말
- SEQRITE 보호
- IOC
- MITER ATT & CK
- 작성자
개요
SEQRITE Labs APT-Team은 최근 파키스탄 국방 분야 등 다양한 산업과 홍콩 연구원들을 표적으로 삼은 캠페인을 적발했습니다. 추적 대상은 다음과 같습니다. 코발트 위스퍼 작전전체 캠페인은 난독화된 VBScript를 사용하여 배포되는 사후 익스플로잇 도구인 Cobalt Strike를 크게 활용합니다. 지금까지 총 20개의 감염 경로와 추가 개별 샘플이 확인되었는데, 그중 18개는 홍콩을, 30개는 파키스탄을 표적으로 삼았으며, XNUMX개 이상의 미끼 파일이 확인되었습니다.
이 블로그에서는 초기 분석 과정에서 발견된 캠페인 중 하나의 기술적 세부 사항을 살펴보고, 유인 문서부터 시작하여 감염 사슬의 여러 단계를 분석해 보겠습니다. 이어서, 이 위협 행위자가 대부분의 캠페인에서 사용하는 악성 VBScript 및 LNK 페이로드 사용과 같은 일반적인 전술, 기법 및 절차(TTP)를 살펴보겠습니다. 이러한 방법은 Cobalt Strike 임플란트의 메모리 내 실행을 용이하게 하며, 유인 문서와 함께 아카이브 파일로 배포됩니다.
주요 목표
영향을 받는 산업
- 방위 산업
- 전기공학
- 에너지(수력, 재생에너지)
- 민간 항공
- 환경 공학
- 학계 및 연구 기관
- 의학기관.
- 사이버보안 연구원.
지리적 초점
- Hong Kong
- 파키스탄
초기 발견
최근 9년 2024월 XNUMX일, 우리 팀은 다양한 출처에서 발견된 악성 RAR 아카이브를 발견했습니다. VirusTotalRAR이 초기 감염원으로 사용된 곳에서는 PDF 및 LNK 확장자를 가진 여러 개의 미끼와 최종적으로 Cobalt Strike 임플란트가 포함되어 있었습니다. 이는 다른 위협 연구원 뿐만 아니라.
RAR 아카이브에는 "라는 악성 LNK가 포함되어 있습니다.첨부 1:《2024연도중국2024년8 년차월신규).pdf.lnk”는 또 다른 악성 배치 스크립트의 실행을 담당합니다. O365.vbsVBScript는 주로 디스크에 있는 Cobalt Strike 비콘을 디코딩하는 역할을 합니다. 캐시.bak, 이는 추가로 실행되어 명령 및 제어 서버로 다시 연결됩니다. 두 개의 미끼 문서를 살펴보겠습니다.
감염 사슬
미끼 문서를 살펴보니 – 나
subscription.db라는 이름의 첫 번째 미끼 문서를 살펴본 결과, 이 미끼는 중국 전자학회와 연관이 있으며, 시상식 후보 추천에 초점을 맞춘 것으로 밝혀졌습니다.
본 PDF 문서의 내용과 전체 내용은 본 PDF가 중국전기학회 과학기술상(China Electrical Society Science and Technology Award) 신청 및 추천 절차에 대한 포괄적인 지침임을 확인합니다. 본 PDF 문서는 기술 혁신, 평가, 신청 홍보, 경제적·사회적 편익에 대한 세부 정보를 포함하여 프로젝트 제출에 필요한 서류, 구조 및 구체적인 요건을 설명합니다.
또한 미끼에는 현재 프로젝트가 다른 상을 수상한 경우를 대비해 후보로 추천할 때 참고할 수 있는 몇 가지 흥미로운 가이드라인이 언급되어 있습니다.
이 문서는 연구의 정당성과 신뢰성을 입증하는 필수 문서 제출에 대한 연구자 지침으로 마무리됩니다. 여기에는 동료 전문가 추천서, 사진, 그리고 비디오 형식 사양 및 추가 제출 지침을 포함한 기타 관련 정보가 포함됩니다. 이제 다른 유인 문서를 살펴보겠습니다.
미끼 문서 살펴보기 – II
두 번째 문서는 "附件2:《中国电工技术学会科学技术奖励办法》(2024년 4월 개정).pdf"로 번역되며, "별지 2: 중국전기학회 과학기술상 규정(2024년 XNUMX월 개정)"으로, 첫 번째 문서와 동일한 주제와 밀접한 관련이 있음을 분명히 알 수 있습니다. 이 문서는 시상식의 목적에 초점을 맞추고, 다양한 수상 내역을 자세히 설명하며, 이러한 시상식을 통해 달성된 사회 전반의 발전과 성장을 강조합니다.
이 미끼는 기술 발명상, 과학기술 진보상과 같은 다양한 상과 주요 엔지니어링 프로젝트를 구축한 사람 등의 다양한 기준을 언급합니다. 또한 전기 공학 분야에 대한 기여를 장려하고 고무하는 것을 목표로 하는 가오징더 과학기술 업적상이라는 다른 상에 대해서도 언급합니다.
이 문서는 수상을 위해 부적절한 수단이 사용된 것으로 밝혀질 경우 수상 취소에 대한 지침을 준수하는 것으로 마무리됩니다. 마지막으로 중국 전기공학회(Chinese Electrical Engineering Society)에서 관리하는 다양한 규정에 대한 내용이며, 해당 규정의 해석은 해당 학회에 책임이 있습니다. 전반적으로 이 유인 문서는 전기공학 분야의 업적을 인정하는 투명성 측면에서 전체 평가 절차, 수상 유형 등에 대한 지침 역할을 합니다.
기술 분석
우리는 분석을 두 가지 주요 부분으로 나누겠습니다. 먼저,, 우리는 악성 LNK 및 VBScript 구성 요소를 조사할 것입니다. 위협 캠페인 전반에 걸친 배우. 초, 우리는 악의적인 Cobalt Strike 임플란트를 파헤쳐 구성 세부 정보를 추출할 것입니다.
우리의 연구는 다음을 발견했습니다. 18개의 서로 다른 감염 사슬 이 위협 행위자와 관련이 있습니다. 이 블로그에서는 홍콩의 전기 기술 연구원들을 표적으로 삼는 이러한 캠페인 중 하나를 집중적으로 살펴보겠습니다. 이러한 상세한 분석을 통해 사용된 방법론을 파악하고 이 캠페인에서 위협 행위자의 전술에 대한 통찰력을 제공할 것입니다.
1단계 – 악성 LNK 스크립트 및 VBScript
RAR에는 다음과 같은 LNK가 포함되어 있습니다.附件1: 《2024年島中國电工技术school会科school技术奖推荐提name书》(技术2024년 8월 신작).pdf.lnk , 탐색을 통해 LNK의 유일한 목적은 단지 wscript.exe로 알려진 Windows 유틸리티를 사용하여 악성 VBScript O365.vbs를 실행하는 것이라는 것이 매우 분명해졌습니다.
악성 VBScript를 분석한 결과, 다음과 같은 사실을 발견했습니다.
① 스크립트의 초기 부분은 MSI 데이터베이스에서 압축된 캐비닛을 관리하고 생성하는 유틸리티를 모방한 것으로, 소프트웨어 배포 및 설치 프로세스에 유용할 수 있습니다.
② 다음으로, 인코딩된 내용을 담고 있는 ElZn이라는 변수가 있는데, 이를 디코딩하면 또 다른 VBScript가 생성됩니다.
③ 디코딩된 VBScript는 대상에 전달된 RAR 파일에서 발견된 백업 cache.bak의 이름을 sigverif.exe로 변경하고, 디코딩된 이름을 기반으로 subscription.db를 지정된 위치로 이동합니다. sigverif.exe를 임시 폴더에 복사한 후 원본 파일을 삭제하여 제거합니다. 스크립트는 이름이 변경된 실행 파일과 임시 폴더에 복사된 버전을 모두 실행하여 백그라운드에서 자동으로 작업을 수행함을 나타냅니다. 또한, 64분마다 sigverif.exe를 실행하는 WpnUserService_x59라는 예약된 작업을 생성합니다. 마지막으로 스크립트는 실행 후 자신을 삭제합니다.
④ 마지막으로, 지속성을 수행하는 VBScript를 실행한 후에는 전혀 관련 없는 추가적인 가비지 코드가 생성됩니다.
이 섹션에서는 VBScript 실행을 담당하는 LNK가 Cobalt Strike Implant의 이름을 변경하고 예약된 작업을 생성하는 역할을 한다는 것을 분명히 알 수 있습니다. 다음 섹션에서는 Cobalt Strike Beacon에 대해 살펴보겠습니다.
2단계 – 악성 코발트 공격 신호기.
분석 결과, 기본적으로 SigVerifier.exe로 이름이 바뀐 cache.bak은 32비트 실행 파일인 것으로 밝혀졌습니다.
바이너리를 분석한 결과, 이는 기본적으로 C2 서버에 연결하려는 Cobalt Strike 비콘임을 확인했습니다. Cobalt Strike 임플란트의 기본 원리에 대한 다양한 연구가 진행 중이므로, 지터, C2 URI 및 기타 기본 원리와 같은 개념은 다루지 않겠습니다. 다음으로, 구성 정보를 추출했습니다.
임플란트에서 추출한 비콘 구성은 다음과 같습니다.
추출된 비콘 구성:
비콘 유형 : HTTPS
따라서 위에는 악성 Cobalt Strike Beacon에서 추출한 구성이 나와 있습니다. 다음으로 유사한 샘플을 찾고 위협 행위자가 호스팅하는 유사한 인프라를 살펴보겠습니다.
사냥과 인프라
이 섹션에서는 위협 행위자가 이름을 지속적으로 사용하는 간단한 아티팩트를 활용하여 추가 캠페인을 어떻게 발견했는지 논의합니다. ImeBroker.exe 모든 캠페인에 걸쳐 다양한 코발트 스트라이크 임플란트를 위해. 원래는 ImeBroker.exe 는 언어 입력과 관련된 합법적인 Windows 유틸리티로, 특히 사용자가 복잡한 문자로 된 언어를 입력할 수 있도록 하는 입력기(IME)를 관리합니다.
임플란트를 역공학하는 동안 우리는 의심스러운 코드 세그먼트를 발견했습니다. 이 세그먼트를 사용하여 총 14 샘플 유사한 이름과 동일한 바이너리 크기를 가진 이 모든 것은 위협 행위자가 Cobalt Strike 비콘으로 배포했으며, 컴파일 타임스탬프는 "컴파일 타임스탬프: 2015-07-10 03:27:31"이고 다양한 미끼를 통해 전달되었습니다. 또한, 구성을 통해 21개의 추가 코발트 스트라이크 비콘 유사한 구성을 사용합니다. 이 패턴은 위협 행위자가 여러 캠페인에서 일관된 명명 및 구성을 광범위하게 사용한다는 점을 보여줍니다.
이 위협 행위자를 추적하는 데 사용된 또 다른 아티팩트는 여러 LNK에 존재하는 머신 ID였는데, 이는 홍콩과 이슬라마바드를 표적으로 삼은 캠페인에서 공통적으로 발견되었습니다. ID 노트북-g5qalv96 wscript.exe를 사용하여 VBS를 실행하는 다른 악성코드와 달리 cscript.exe를 실행합니다. 이 ID를 기반으로 파키스탄 기반 미끼를 사용하는 두 가지 캠페인이 발견되었습니다.
다른 관련 ID 데스크탑-727otfd explorer.exe를 실행하여 이 캠페인의 여러 보관 파일에서 발견되는 "PressMe.pdf"를 엽니다. 흥미로운 파일 경로도 존재합니다: "C:\LLVM\bin\LnkFishing\.asset\.asset.pdf".
우리는 우리가 발견한 코발트 스트라이크 비콘과 관련된 흥미로운 캠페인과 그 미끼들을 살펴볼 것입니다.
캠페인 1: 방위 산업을 타겟으로 삼습니다.
우리는 이 미끼를 코발트 스트라이크 비콘 중 하나와 함께 발견했는데, 이는 군사 작전에서 제안된 이론적 틀에 초점을 맞춘 연구 논문에 대한 평가인 듯합니다.
캠페인 2: 전기 기술 연구자를 타겟으로 삼습니다.
우리는 발전 시스템의 모델링 및 시뮬레이션에 초점을 맞춘 연구 논문에 대한 비판에 대해 논의하는 또 다른 미끼를 발견했으며 여기에는 Ebsilon 소프트웨어와 CFETR이 언급되어 있습니다. [중국 핵융합공학 시험로]
캠페인 3: 전자공학 교육 산업을 타겟으로 합니다.
博士后申请-王玉玺-华中科技大school-电气与电子工程-博士(영어로 박사후 과정 지원 – Wang Yuxi – Huazhong University of Science and Technology – Electrical and Electronic Engineering – PhD)로 알려진 사냥을 기반으로 RAR을 추출한 결과 위협 행위자가 개인의 박사후 과정 지원 프로를 미끼로 피해자를 표적으로 삼아왔다.
캠페인 4: 파키스탄의 방위 산업을 타깃으로 삼다.
이 미끼를 조사해 본 결과, 이 미끼는 기본적으로 파키스탄 방위 산업을 타깃으로 하고 있으며, 2024년 XNUMX월 파키스탄에서 개최되는 전시회에 대한 정보 데이터가 포함되어 있다는 것을 알게 되었습니다.
다른 흥미로운 캠페인
또한 CNCERT를 모방한 파키스탄 군사 아카데미와 중국 사이버 보안 연구원을 표적으로 삼는 캠페인에서 흥미로운 미끼를 발견했고, 마지막으로 이 위협 행위자가 중국에 있는 의료 기관도 표적으로 삼는다는 사실을 발견했습니다.
이러한 모든 유사한 임플란트의 비콘을 기반으로, 우리는 대부분의 샘플이 아래에 표시된 대로 Tencent에 등록된 정확히 동일한 ASN5090을 사용하여 유사한 명령 및 제어 서버에 연결된다는 것을 발견했습니다.
| IP | ASN | 위치 정보 |
| 139.155.190 84 .. | AS45090(선전 텐센트 컴퓨터 시스템 유한회사) | 중국
|
| 43.137.69.76 | ||
| 139.155.190.198 | ||
| 106.55.77.71 | ||
| 129.204.98.221 | ||
| 119.45.2.30 | ||
| 119.45.67.241 | ||
| 119.45.2.56 |
Tencent(*tencentapigw.com 또는 *tencentcs.com)에 연결된 호스트 헤더의 거대한 집합이 식별되었으며, 그 중 몇 가지는 다음과 같습니다.
맺음말
남아시아 국가들의 국방 및 연구 분야를 주로 겨냥하는 새로운 위협 행위자 캠페인이 발견되었습니다. 특히 파키스탄과 홍콩을 표적으로 삼고 있으며, 인도에 대한 관심도 높아지고 있습니다. 분석 결과, 공학 연구원, 교수, 그리고 주요 기관에 상당한 집중이 이루어진 것으로 나타났습니다. 홍콩, 중국 본토, 파키스탄이 캠페인은 전기 기술 학회, 에너지 인프라, 민간 항공, 환경 공학 관련 미끼 문서 등 정교한 미끼를 활용하여 기술 분야 전문가들을 전략적으로 표적으로 삼습니다. 공격자는 사후 악용 도구인 코발트 스트라이크(Cobalt Strike)를 활용하여 작전을 수행하는데, 이는 사이버 간첩 행위에 대한 체계적인 접근 방식을 시사합니다.
캠페인에 사용된 전술, 기술 및 절차(TTP)를 기반으로 악의적인 지속적인 사용을 포함합니다. LNKs, Vbscript글렌데일 코발트 스트라이크 페이로드를 통해 우리는 이 위협 행위자가 이 피해자 그룹을 특별히 표적으로 삼았다는 결론을 내릴 수 있습니다. 2024년 5월 타임스탬프 기반. 캠페인의 범위와 복잡성, 그리고 맞춤형 미끼 전략은 APT 그룹이 해당 산업 분야의 민감한 연구 및 지적 재산권을 침해하기 위한 표적 공격을 시도했음을 강력히 시사합니다.
보호를 위해 필요한 예방 조치를 취하는 것이 좋습니다. 알 수 없는 링크를 클릭하거나 의심스러운 첨부 파일을 다운로드하지 말고, 바이러스 백신 솔루션과 소프트웨어 시스템을 업데이트하고, 데이터를 정기적으로 백업하고 다중 요소 인증을 활성화하세요.
SEQRITE 보호
- 위스퍼.49086.GC
- 속삭임.49085
- 코발트스트라이크
IOC
아카이브
| MD5 | 파일 이름 |
| 86543a984e604430fb7685a1e707b2c4 | 科school技术奖填报说명화奖励办法修订版.rar |
| 95557088474250a9749b958c3935dee4 | 最新停车场收费标准调整方案.rar |
| 95f05674e4cb18a363346b488b67fd38 | ╒δ╢╘í╢│Θ╦«╨ε─▄╡τ╒╛╩Σ╦«╖ó╡τ╧╡═│╖╜░╕╔Φ╝╞▒╚╤í╤╨╛┐í╖╡─╨▐╕─╜¿╥Θ.zip |
| b8c94d2f66481cc52b30948f65fed761 | ╣π╕µ═╢╖┼╥¬╟≤╩Θ.zip |
| 4cf9bd6af64c3937e156ffb20537a6c1 | 预加油航班管리방 법研究与软件实现(修改意见).rar |
| b2649134fbf0520222263d73b7e985d8 | aaa.zip |
| af669dfa074eb9b6fda3fd258f58e2d2 | 贾哲文-云南大school-环境工程.rar |
| 865483fea76242e687aa9e76b1a37f28 | 刘潇-清华大school-计算机.rar |
| 432230af1d59dac7dfb47e0684807240 | 李新宇-북경대학-2026毕业-金融硕士.rar |
| b9d04a61b30ddf53b28bf58a86fc28f5 | 热核聚变发电岛三回路参数优化研究(修改意见).rar |
| 2d478e4527486d85932254c7a7413951 | 國家互联网应急中心CCSC认证邀请函_海关信息中心.rar |
| e08dcbbd3e2ab9bcc2c02c44b6a97870 | 异构平台要素协同理论方法研究(修改意见).rar |
| fe4c575abf70ad11cdbce0b0821ee681 | 博士后申请-王玉玺-华中科技大school-电气与电子工程-博士.rar |
| 68278e47f36a44d9a8bbd46b74422bbe | 企业资质材料.zip |
| 58f5ff5be4e765e62758b1f3e679a2ac | 针对 《苍术倍半萜类화합물생체합동성研究进进》적修改建议.rar |
| 955841a4d2315422818b47aec6ce51fb | 中债数据无法使用情况.rar |
| 75def3a25b1d355c9163d3c247990867 | 参编 《人工智能communication大模型合规管理体系 指南》申请表.rar |
| 343a3944218a040089fa7131112c1681 | 중국외汇交易中心信息产product许可表.rar |
| b28bb7cabfb12e9bc5b87692b065c83a | 이슬라마바드_보안_대화_공개.rar |
| 7728fee377137e83e9bd1c609cc166c0 | 아이디어_2024_부름편지.zip |
| dad7d9528e9506ebd0524b3ebd89ddf2 | 최종_통합_예보_MCP_FY_2024_25.zip |
LNK
| MD5 | 파일 이름 |
| 22c07c76020f9311385cfaa97a2d6adb | 附件1: 《2024年島中國电工技术school会科school技术奖推荐提name书》(技术2024년 8월 신작).pdf.lnk |
| 7a494f7448bc350bb46fb7f21450d1d9 | 最新停车场收费标准调整方案.lnk |
| 3c3986899bdb4890ea6d44c00538e2fd | ╒δ╢╘í╢│Θ╦«╨ε─▄╡τ╒╛╩Σ╦«╖ó╡τ╧╡=│╖╜░ ╕╔Φ╝╞█╚╤í╤╨╛┐í╖╡─╨▐╕─╜¿╥Θ.docx.lnk |
| 74ca14032a93be59098d607ba7039660 | 预加油航班管리방 법研究与软件实现(修改意见).docx.lnk |
| cd14d51d27f294c2e60d1bc3ef907160 | 电影宣传要求.pdf.lnk |
| db08274efb374e2196a9f46961c8d8f8 | 需使用中债数据.jpg.lnk |
| 62eb90df5ee3a3b443c277d12b893141 | 贾哲文-云南大school-环境工程.docx.lnk |
| 41b5d5a04cf4534550e6ac3fc9a8f42d | 刘潇-清华大school-计算机科school与技术school院-硕士.pdf.lnk |
| ae55cb4988f2f45197132631f5a86632 | 파일 이름.lnk |
| 5ae488083403cd69002c29ef6326cca7 | 李新宇-북경대학생-2026毕业-金融硕士.pdf.lnk |
| 72011305317d7e9d38a0e75650f22e34 | 修改建议.docx.lnk |
| d73a5c11423923d8a8c483cf6172f7e2 | |
| 473adee7068573fd01862b4bf43979e6 | 이슬라마바드_Security_Dialogue_Pub.pdf.lnk |
| a02a664f80d9011e38c45762683771c0 | 최종_통합_예보_MCP_FY_2024_25.pdf.lnk
12년 혁신 및 우수성 아이디어 2024판.pdf.lnk |
| 10d0a351df1bfe57494ac18a7f2edec1 | 热核聚变发电岛三回路参数优化研究(修改意见).docx.lnk |
| 10d6fb6ab395001a4424058a52c3c69f | 國家互联网应急中心CCSC认证邀请函_海关信息中心.pdf.lnk |
| 1070fc4a998cb7515842fb1b647340be | 异构平台要素协同理论方法研究(修改意见).docx.lnk |
| 1b538fef54102fd36e83e4fc549f960e | 博士后申请-王玉玺-华中科技大school-电气与电子工程博士-简历.pdf.lnk |
| c8231c5709ca548f1fe70f3b61d3537a | 针对 《苍术倍半萜类화합물생체합동성研究进进》적修改建议.docx.lnk |
| 955a8b63723eb35686ddce6cbfe890cf | 中债数据无法使用情况.jpg.lnk |
| da623c5ca61e25c6205904a5cb91bd55 | 参编 《人工智能communication大模型合规管理体系 指南》申请表.pdf.lnk |
| afc805006390b00713898c09d50343b6 | 중국외汇交易中心信息产product许可表.doc.lnk |
VBS
| MD5 | 파일 이름 |
| 0a34cc8983fb581a59308135868b75d0 | O365.vbs |
| 5d18995193465c618844949f0ff9c786 | 캐시.vbs |
| 4c409d7201ec5dccf55a8ea54b0de101 | DS_Store.vbs |
| 39ab2053406493b9a0d81ed40212ffa8 | O365.vbs |
| 4711d0d163c00158abd4b20177d68b9a | DS_Store.vbs |
| 3dce8d8f9664c755448413cbfe1bc08f | DS_Store.vbs |
| 3b573c2229b43bde50f998f6cba17f2f | DS_Store.vbs |
| 318a1a18df75b49f72fbcc020384cc24 | DS_Store.vbs |
| a0d760492c0193d14114792f0c3fff7a | 캐시.vbs |
| cafdc03dcbe06ac43ec25fb38c1e013f | 캐시.vbs |
| d13828ae89a7dab34d2f380eef518332 | 캐시.vbs |
| 7e98bb7ffba4cf12d29132a2c71973eb | 캐시.vbs |
| c3d460ac3a93e86782c2bc374aa5ecd2 | Anx.vbs |
| 93eafad827126a9d12fc1d0e6e21aaef | 캘.vbs |
| a4a47dd08cf59f8b6a7c907cf0e39029 | 캘.vbs |
| b2c882f6121d758cfcd4ece31834f497 | O365.vbs |
| 86e4c5d39dda20eee4dd8f794be04c80 | DS_Store.vbs |
| e7f3c33a5cd569ebf4b57381f03c5337 | 캐시.vbs |
| 7ac5daaa5fe4e59137271eaf97c9e692 | O365.vbs |
| a2f64bafeafbeb303d24fd6ed1f5a89a | DS_Store.vbs |
| 8ba5b61454a29e09e7f536e85c951f53 | DS_Store.vbs |
| 4eeeb2b40e7189c271098c515b8f91d8 | DS_Store.vbs |
| 3711e1913f2ae74c4fc765bc28dbc60f | DS_Store.vbs |
| e112698125e67a1a6f26597371cae502 | DS_Store.vbs |
| 67dc90468327a0c733ca48881084593b | 캐시.vbs |
| d68fb3502e63ef3ca91c45f508d146b9 | 캐시.vbs |
| 91b7328a6064706fa9f125621a09f648 | 캐시.vbs |
| bfd61e5e133b2cd592d42ecdbc0eaee2 | 캐시.vbs |
| e5e709be4584031aefdc2a0782017f8f | 캐시.vbs |
| cf59916d271dce7f44bbf349464a31e2 | 캐시.vbs |
| 5d18995193465c618844949f0ff9c786 | 캐시.vbs |
| e213dc8060794bb97c5f94f563107e88 | 캐시.vbs |
| d01e7c41140aeff82ad87a558ae96587 | DS_Store.vbs |
| de3a0ff11c7645f5d0ac717b0eb98e52 | 캐시.vbs |
코발트 스트라이크(EXE)
| MD5 | 파일 이름 |
| d29980f768aafdcf102cf1b3741c8a2b | ImeBroker.exe / cache.bak |
| 2acfad6fd814b02683038d21ba3eccbe | ImeBroker.exe / cache.bak |
| 1aa1f12d26d3a34265d0b99705bdf283 | DevicesFlow.EXE / DS_Store |
| e7550dd2db4dbe1a2cc1dadc47846cd0 | ImeBroker.exe / cache.bak |
| 1d109c8bb9e6ad16cd5f6813db39c21a | Microsoft IME / DS_Store |
| d8c348a2f27097d8689dba4452bb76eb | charmap.exe / DS_Store |
| 14df06539b72837adb9f8d13cfcea6db | CTTUNE.EXE / DS_Store |
| 6388625810652f0767be13b43363c10d | ImeBroker.exe / cache.bak |
| e8d3540212384d45ba9d7135c5bf8d8e | ImeBroker.exe / cache.bak |
| 352e299fc3f2327bfad5026b4a56b7cb | ImeBroker.exe / cache.bak |
| 73fa6149e68dd7842f7cfce78dd732c5 | ImeBroker.exe / cache.bak / sigverif.exe |
| 3813e4ebddd87615c1adc9c05888341d | 企业资质材料/企业签name解密专用解密工具.exe D:\MyPrograms\vs2022\vt01\vt\x64\Release\vt.pdb |
| 316e8d798f7db625c207532e2f7a5d38 | keycongif.exe / Anx |
| 5e7dba4aafb8176ab026e2f4aa3211dd | AdobeBee.exe / cal |
| 33b3e322679f1500a9f3c162e4b25040 | ImeBroker.exe / cache.bak |
| 2694553347f23e250ed70a8c23096d8f | BioEnrollmentHost.exe / DS_Store |
| 800be8a4989d4b7ed07ddd068c6469f1 | DevicesFlow.EXE / DS_Store |
| bfd6c2f0787865ecb1604439ea9a5f15 | imecfmui.exe / 캐시.bak |
| 49c5553995f032195890b5bfc2abcb00 | ImeBroker.exe / cache.bak |
| ae9d676e4eda5cfa18a061e4bc2b1637 | ImeBroker.exe / cache.bak |
| 008255c14420420e9a53c9959d0d08b8 | ImeBroker.exe / cache.bak |
| 49a9c56fab34795b7e6e4c0b6185ca3e | ImeBroker.exe / cache.bak |
| d901fa81a4b3d83219440b80a1c338bc | ImeBroker.exe / cache.bak |
| 88b8bbe04b53e4af857cd1c032968c94 | ImeBroker.exe / cache.bak / sigverif.exe |
| 1d065492e7b5d118e31e571cc53dfe65 | ImeBroker.exe / cache.bak / sigverif.exe |
미끼
| MD5 | 파일 이름 |
| 98b85b474c02ce8c0a33ad7507abbf2a | 구독.db |
| 5368f0b6ff56cce0de42165f14067427 | 附件2: 《中國电工技术school会科school技术奖励办法》(2024年4月修订).pdf |
| 22ce60653860fe33bdfc47ce60deb681 | │Θ╦«╨ε─▄╡τ╒╛╩Σ╦«╖ó╡τ╧╡═│╖╜░╕╔Φ╝╞▒╚╤í╤╨╛┐_╦╬╫╙╞µ.pdf |
| b69c075caff565528bf42705d936a066 | 캐시.db |
| 477c5abea7299891b7f7c487f8636613 | ╡τ╙░╨√┤½╥¬╟≤.pdf / 电影宣传要求.pdf |
| 298a27e24e4ca917020fa5a230fe6c8f | 구독.db |
| 820485d456ce6bfab933a1b662ff590a | 贾哲文-云南大school-环境工程.docx |
| 55467fcb1b51477104442e74d7baf3df | 캐시.db |
| ab1bc05e7f110042d7eacda5724918e0 | 캐시.db |
| 8423873a0eee6139c1eb6d5a9919121b | 企业资质证명(请先解密).pptx |
| 6833e934c675717a0581472e00cb6d93 | 12년 혁신 및 우수성 아이디어 2024판.pdf |
| 9294dd350f921745602f745e501e8e43 | 预加油航班管리방향법研究与软件实现.pdf |
| 43bed053851e7a182b99835bcd1d2d16 | 需使用中债数据.jpg |
| 154bf965c1c8e54540179b2d01c4202e | 硕士.pdf |
| 1fbffdc19d3cfee158558e266206f46f | 이신宇-북경대학생-2026毕业-金融硕士.pdf |
| 8bdd5587b9863bdb154d9db85c67037b | 热核聚变发电岛3回路参数优化研究.pdf |
| 05770b4da4f87150f2faf6c4e821f727 | 캐시.db |
| c5b2970e227e311abb5acf480bc48934 | 异构平台要素协동리관리방법研究.pdf |
| edd1a870a0eea3bf9dcbd88ece487920 | 캐시.db |
| 1c2126ea78d3430ce04bf96b0d1c524e | JPCS-2021-MMC-HV를 위한 새로운 전류 차등 보호.pdf |
| 13097891c790fbd3df75a2aebf993b16 | |
| 23bd40035a9a9fd1d31a1c7aceda1727 | IET-2022-A 단락 전류 시뮬레이션 분석을 위한 Type-4 풍력 터빈의 단순화된 모델.pdf |
| 7763e73dd2e877c4770c0f10e4d3a1dd | 论文及荣誉证书/教育文籍에서 线验证报告-王玉玺.png |
| 162a9b9aee469b8de10c37c6311906cd | 이슬라마바드_보안_대화_Pub.pdf |
| e8db7191c84a84717bffd0f1af9de36c | 최종_통합_예보_MCP_FY_2024_25.pdf |
| 91611a155d4722d178f7697cd4ddd95f | 冯铃芳.pdf |
| 75c1403abfbe9f5c92625a1baf8b22f5 | 구독.db |
| d967a709472775c118ec339963c1d940 | 中债数据无法使用情况.jpg |
| 154141caa12b828ace18fd4b3fda77e0 | 参编 《人工智能communication大模型合规管理体系 指南》申请表.pdf |
| c116a1971593a3a5468eb972b505fb57 | 캐시.db |
| 63d4015195c5006d81e14a85aa2459c4 | 联系方式.txt |
| a3df3505d89c15bb3940062f7abd786b | 联系方式.txt |
| 041d01a5495cdede35f4ad8e1fe437f7 | 清华통지.txt |
MITER ATT & CK
| 술책 | 기술 ID | 성함 |
| 초기 액세스 | T1566.001 | 피싱: 스피어 피싱 첨부 파일 |
| 실행 | T1204.002
T1059.005 |
사용자 실행: 악성 파일
명령 및 스크립팅 인터프리터: Visual Basic |
| 고집 | T1053.005 | 예정된 작업 |
| 방어 회피 | T1055.002 | 프로세스 주입: 휴대용 실행 파일 주입 |
| 발견 | T1033 | 시스템 소유자/사용자 검색 |
| 명령 및 제어 | T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 |
작성자
- 사트윅 람 프라키
- 수바지트 싱하
