事件概述

近期鷹眼威脅情報中心(https://ti.duba.net/)陸續捕獲到多個以“舉報”為誘餌的一批的釣魚攻擊，攻擊者對多個目標投放誘餌，涉及高校，金融公司，高新技術企業等，誘餌文件名包含如下字樣：“舉報材料”、“作弊證據”、“舉報證據”等。其中一些是對企事業單位信訪科的攻擊可見是非常有預謀的定向攻擊。這些誘餌最終都會釋放Cobalt Strike遠控，企圖對目標進行長期監控和對內網的進一步滲透攻擊。攻擊者對不同的目標都做了定制化的免殺，樣本都不重復，推測攻擊者對目標環境有一定的了解。例如在針對某信訪科的攻擊中使用了雙誘餌，內存中執行的CS shellcode利用SEH異常機制動態解密和執行指令，每次執行一條指令后就清空上一條指令，內存中始終只保留一條指令，

躲避啟發式查殺和內存掃描。其他幾例攻擊中分別使用了Go語言和python打包混合執行以及文件膨脹免殺，最終的C2都指向騰訊云的API網關從而隱藏真實的C2地址，可以看出攻擊者有較強免殺和隱藏技巧。

1、針對某單位信訪科的釣魚分析

此次攻擊使用電子刊物格式caj和可攜帶文檔格式pdf的圖標，并配以舉報材料和作弊證據的名字進行迷惑用戶點擊。用戶無論打開哪一個，其攻擊手段如出一轍

樣本運行后，都是通過先安裝 SEH，然后去執行0xcc地址觸發異常，利用某些引擎對SEH的模擬處理不完善，從而繞過其動態啟發式的查殺。在進入異常處理流程后，進行動態鏈式的解密清空執行所需的ShellCode，這種處理明顯是為了躲避殺軟的內存掃描，在異常的"加持"下內存始終保持著最長20字節的指令。

該ShellCode 實際為 Cobalt Strike Stager 用于從 https[:]//service-iywh4vgv-1301088967.cd.apigw.tencentcs.com/vue.min.js 下載加密的 beacon.dll，在內存中展開執行。我們還追蹤到beacon模塊又下發了一個 CS 組件“invokeassembly.x64.dll”用于后滲透攻擊。

BeaconType                       - HTTP
Port                             - 80
SleepTime                        - 45000
MaxGetSize                       - 1398104
Jitter                           - 0
MaxDNS                           - Not Found
PublicKey_MD5                    - e9ae865f5ce035176457188409f6020a
C2Server                         - service-iywh4vgv-1301088967.cd.apigw.tencentcs.com,/api/x
UserAgent                        - Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 
(KHTML, like Gecko) Chrome/90.0.4430.2121 Safari/537.36
HttpPostUri                      - /api/y
Malleable_C2_Instructions        - Base64 decode
HttpGet_Metadata                 - ConstHeaders
                                        Accept: */*
                                   Metadata
                                        base64
                                        prepend "SESSIONID="
                                        header "Cookie"
HttpPost_Metadata                - ConstHeaders
                                        Accept: */*
                                   SessionId
                                        base64
                                        prepend "JSESSION="
                                        header "Cookie"
                                   Output
                                        base64
                                        print

2、針對某半導體企業的攻擊分析

攻擊流程：

該樣本使用Go語言進行編寫，使用壓縮包隱藏在郵件中進行傳播，使用超長名字以隱藏exe后綴并偽裝成docx后綴形式進行迷惑用戶點擊，樣本啟動后會在同目錄下寫入 舉報證據.docx，如下圖所示。并調用cmd進行打開此文檔。釋放 pycode.exe 文件到 C:\Users\Public 目錄下并執行啟動后續的攻擊流程。

pycode.exe 分析：

此模塊屬于Pyinstaller 打包的Python模塊，在運行此模塊后會進行釋放python所需要的文件至 %Temp% 的 _MEI20042 文件夾下進行作為 Python 環境所需要的支持。通過對Pyinstaller的解包分析，此模塊下的 Python 核心源碼文件均被加密為字節碼，使得無法輕易獲得其源碼，通過 PyEval_EvalCode 函數中進行解析字節碼指令執行。

然后執行后在內存中寫入一段Cobalt Strike stager 并執行，后續邏輯與前一案例一致：下載 Cobalt Strike beacon.dll到內存中執行，C2地址同樣為中轉的騰訊云函數： https://service-rs0iggq1-1305836665.sh.apigw.tencentcs.com//bootstrap-2.min.js 。

BeaconType                       - HTTPS
Port                             - 443
SleepTime                        - 3000
MaxGetSize                       - 1398104
Jitter                           - 0
MaxDNS                           - 255
PublicKey_MD5                    - 1f1410c901d9d89b09784d0c2b5f945a
C2Server                         - service-rs0iggq1-1305836665.sh.apigw.tencentcs.com,/api/getit
UserAgent                        - Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/5.0)
HttpPostUri                      - /api/postit
Malleable_C2_Instructions        - Base64 decode
HttpGet_Metadata                 - ConstHeaders
                                        Accept: */*
                                   Metadata
                                        base64
                                        prepend "SESSIONID="
                                        header "Cookie"
HttpPost_Metadata                - ConstHeaders
                                        Accept: */*
                                   SessionId
                                        base64
                                        prepend "JSESSION="
                                        header "Cookie"
                                   Output
                                        base64
                                        print

目前 Ti 鷹眼威脅中心已支持查詢該樣本的相關情報信息，

此外，還可以使用Ti 鷹眼威脅中心的高級檢索功能獲取以“舉報”命名的情報：

https://ti.duba.net/search-result?search_key=file_names%3A%E4%B8%BE%E6%8A%A5

。如下圖所示：

總結

通過對上述樣本的分析和鷹眼情報中心關聯的情報溯源，此次攻擊采用了”舉報“之類的命名以吸引眼球迷惑用戶進行點擊，用戶稍有不慎就可能掉入陷阱，而且攻擊者使用的C2均為騰訊云的微服務架構 API 網關，利用網關轉發隱藏真實的服務器地址，每次攻擊都可以創建一個新的網關觸發器，攻擊成本低且隱藏效果好。

近年來，Cobalt Strike在攻擊活動中扮演著越來越重要的角色，它可以幫助攻擊者竊取數據，進行各種惡意操作，比如盜取企業信息、密碼、電子郵件等。安全意識稍有不足，攻擊非常容易得逞，繼而對內網進行橫向移動或釣魚攻擊等。甚至最近超過三分之一的APT攻擊中都有Cobalt Strike的參與，

在Cobalt Strike的濫用下，信息竊取，數據泄露事件頻發給許多企事業單位造成重大損失。可見其危害性之大。相關人員需要提高個人的安全意識，安裝殺軟實時監控?，F毒霸已支持相關模塊的查殺：

IOC

MD5

5DE944206BB2112DBC544EF23855309C

92D49C67CD9CC2CAC86C170E85ACAF6F

E865C4F13E3B5C2F278EC51B17825647

BB4419982D18ED98E020F2C23600E6AB

C2

service-iywh4vgv-1301088967.cd.apigw.tencentcs.com

service-rs0iggq1-1305836665.sh.apigw.tencentcs.com

service-hx4caudh-1253827968.sh.apigw.tencentcs.com