【情报】HW期间警惕投毒&钓鱼！

一、伪装QAX某擎EXP的木马：

伪装成蓝队，以某擎RCE漏洞为诱饵，在github上发布投毒项目。

项目地址：https://github.com/FuckRedTeam/360tianqingRCE

思路：

伪装包，伪装包名：fake_useragant（正常包名为：fake_useragent），加载base64编码的shellcode，截取图片中的字符串，落地免杀exe木马



IOC：http://i.miaosu.bid/data/f_35461354.png下载图片进行解码

C2：https://47.106.185.79:60000/#/user/login 使用的是Viper
关联信息：

安卓木马：
ca00ff045b9e8e7e2a9b2eb04cf6e40641a5657ee01925b6f2048c7deb1373f6
通信C2：http://i.miaosu.bid/includes/fileReceive.php
处置建议：

1、 切勿轻信网络传播所谓的安全检测脚本/工具，防止被黑客利用。
2、 根据威胁情报，排查网络中是否再存失陷情况。

二、伪装某达OA EXP的木马：
伪装成蓝队，以某达OA EXP为诱饵，在github上发布投毒项目

项目地址：https://github.com/safexz/2022hvv0day （已作废）

木马C2：43.129.158.31

URL：http://43.129.158.31:5555/wc1R

http://43.129.158.31:5555/cm

三、信息收集：

项目地址：https://github.com/fofahub/fofahubkey

描述：项目中的docx文件，使用了canarytokens做了信标的，用于获取打开文件用户的IP地址。（红蓝谁给谁下的套？）



回传地址：http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp

四、木马钓鱼邮件：

木马邮件岗位职级调薪说明.zip）

hash:EDD53D56A61639039D9095BD71A0ADB9
文件名:岗位职级调薪说明.zip

hash:993EC0A31D8B7B9ABF16F04BF75672BA
文件名:岗位职级调薪说明.pdf.lnk

hash:FBBA1AD1342DB932FF94F2ED99185139
文件名:aaa.bat

释放路径: C:\ProgramData\

hash:D2FA324A84502E98D00E2EB8E948693F

文件名:hpqhvind.exe

hash:DB005067D03832E6504580DCE9A206AD

文件名:hpqhvsei.dll

hash:6594DFDA2215437299C3B35F194755B6

文件名:log.bin

行为主要是白文件hpqhvind.exe加载黑dll:hpqhvsei.dll,黑dll进程镂空后载入log.bin的内容,log.bin为cs的dns stageless payload

C2域名:qianxin.dns-detect.com

还包含一下几种钓鱼情况，注意提供警惕



内容来源：https://www.cnsrc.org.cn/hw/1911.html

作者：释然IT杂谈

欢迎关注微信公众号 ：释然IT杂谈