APT-C-48(CNC)组织近期钓鱼攻击活动分析报告
- 2026-06-22 10:39:06
APT-C-48 CNC
APT-C-48(CNC)是一个拥有南亚地区政府背景的APT组织,该组织主要攻击目标为政府、军工、教育、科研、医疗、媒体等行业。
近期,360安全大脑检测到该组织的多起定向钓鱼攻击活动,攻击者沿用经典社工手段,将恶意载荷伪装成个人简历诱导用户中招,本文将对其攻击链路展开详细分析。
01攻击活动分析
1. 攻击流程分析
通过钓鱼邮件下发恶意附件压缩包,该压缩包中内嵌了恶意的可执行文件,该可执行文件通过双后缀的形式伪装成PDF文档,文件名称则伪装成个人简历,旨在降低用户防备心理诱导用户双击打开该文件。接着通过连接服务器下载诱饵文档以及VBS脚本,通过脚本下载核心载荷并运行以达到远控受害者主机的目的。
2. 恶意载荷分析
2.1 初始投递样本(RAR + 伪装 EXE)
捕获的恶意样本如下所示:
MD5 | 18be51caa43a4944b39fb73442d61909 |
文件名称 | %userprofile%\downloads\个人简历_xx亮.rar |
文件类型 | 压缩包 |
MD5 | 972cc460d4646566cfcbeb3da4e567e9 |
文件名称 | 个人简历_xx亮\个人简历_xx亮.pdf .exe |
文件类型 | 可执行文件 |
当用户运行可执行文件后首先关闭控制台窗口,接着获取用户名信息,下阶段的URL则以加密的形式存放在代码中,解密过程为反转字符串+base64解码+异或+base64解码,密钥:6C 34 37 64 6A 41 73 30 62 23 6E 29 31 76 36 4C。
通过同样方式解密出多个 URL 后,样本连接服务器下载下一阶段脚本与诱饵文档:
URL | 本地文件 |
https[:]//efb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//gdfedjhcuef.vbs | C:\Users\xxxx\AppData\Local\Temp\RuntimeBroke.vbs |
https[:]//mnb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//res89ubashm23e.pdf | C:\Users\xxxx\Desktop\个人简历_xx亮.pdf |
最后通过CreateProcess函数打开诱饵文档,旨在迷惑用户,接着运行刚刚下载的VBS脚本文件(MD5:AA7FAF33E849513DC3BBD1C5A8F4CA48)。其中的诱饵文档则是伪造了个人简历。
该脚本的主要功能则是连接服务器下载最终的远控木马,URL地址为https[:]//klp.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//hfjfhruiefh.exe,首先将文件下载到临时目录下,接着检查文件是否下载成功,成功则将文件拷贝到C:\Users\Public\Pictures\SearchIndex.exe。
MD5 | 8D600D1CF269F21EE5BC78B5E0C6ECFE |
文件名称 | Search1ndexer.exe |
文件类型 | exe |
文件大小 | 4.24MB |
该样本文件大小为 4.24 MB,其中绝大部分体积来源于静态链接的 OpenSSL(经 vcpkg x64-windows-static-rel 配置构建),用于实现加密通信。
C2 地址通过异或加密,解密后为:185.243.112[.]142
创建Socket 并尝试连接 C2 服务器 185.243.112[.]142:443。
连接成功后,将原始 Socket 绑定到 SSL 对象,最后完成 TLS 握手,握手成功后即可实现加密通信。
接着发送上线包,上线包内容为”gem01ini”。样本创建 Socket 并尝试连接 185.243.112[.]142:443。
接着读取服务器发送的指令,指令为”download“则会将本地的文件上传至服务器,服务器会下发文件路径,文件打开成功则向服务器返回1,否则返回0。
如果指令不是”download“则会调用CMD执行下发的指令。
02归属研判
综合多条证据链,研判该活动与 APT-C-48(CNC)组织高度相关:
1.此次攻击活动依旧采用”招聘”、”简历”为话题作为诱饵文档进行投递,在以往的攻击活动中已经屡见不鲜,也是该组织的惯用方式。
2.以往某次攻击活动中,初始负载为下载器,通过连接服务器下载诱饵文档以及后续载荷,与本次分析样本一致。
3.核心载荷与以往分析的样本代码序列以及功能保持一致,同样使用Openssl进行加密流量传输。
再结合其攻击目标行业领域等信息,确认此次攻击活动由 APT-C-48(CNC)组织发起。
附录 IOC
MD5
18be51caa43a4944b39fb73442d61909
972cc460d4646566cfcbeb3da4e567e9
8D600D1CF269F21EE5BC78B5E0C6ECFE
AA7FAF33E849513DC3BBD1C5A8F4CA48
C2 & URL
efb.recume[.]ink
mnb.recume[.]ink
185.243.112.142:443
https[:]//efb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//gdfedjhcuef.vbs
https[:]//mnb.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//res89ubashm23e.pdf
https[:]//klp.recume[.]ink//ldhifwdgfjdbcu//qbjhwgf//hfjfhruiefh.exe
360集团官网:www.360.cn
360高级威胁研究院
360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
