2022HW威胁情报共享（文末公示中奖名单）

---

用户甲

1.CobaltStrike木马C2

testqq.tenctent.cf

zomerax.top

1.116.22.103

2.信息收集

项目地址：

https://github.com/fofahub/fofahubkey

描述：项目中的docx文件，使用了canarytokens，用于获取打开文件用户的外网IP地址。（蓝队给红队下的套？）

回传地址：

http://canarytokens.com/terms/articles/ayz4tfaqbetnwn1pz1gmqspi3/post.jsp

3.红队投毒

①疑似恶搞泼脏水给K8

项目地址：

https://github.com/gonghar/2022hvv_NC_0day_exp

hash:daac90ef7a351ce5e17004308bb0c877decde1462fe17399c7c6587d16439a6f

4.红队木马邮件 ①*****说明.zip（科来威胁情报平台）C2域名:qianxin.dns-detect.com

②****通知.zip（科来威胁情报平台） C2：59.110.230.5

5.红队IP地址

只发确认为红队的，减少噪音。

36.113.101.195（确认红队，地址：江苏省南京市鼓楼区广州路189 南京民防大厦内）

8.142.156.176（确认红队）

220.196.60.61（确认红队）

36.113.146.228（确认红队，地址：江苏省南京市鼓楼区广州路189 南京民防大厦内）

8.131.88.174（确认红队）

59.231.43.97（确认红队）

60.205.190.138（确认红队）6.红队信息 涉及个人隐私，全部做打码处理，结束后删除信息。

攻击IP：8.131.88.174

相关手机号：1399396***5（打码）

相关QQ：15204***1

相关微博：https://weibo.com/u/3965****54

域名：cx09**.com 7.泛微OA最新版已有多个单位被上传内存马 流量里搜一下/indexxx.do8.冰蝎4.0 WebShell上传行为Pcap包下载

---

用户乙

1.木马邮件 ①*****-邀请参考demo.exe

C2: 43.138.117.114

②*****裁员协议.zip 

C2 DNS：suning.blog

C2 IP：39.104.64.61

③*****点报备.rar 

C2：101.43.190.181

2.木马C2

8.131.71.64

3.红队域名

y.alibaba-cert.xyz

update.apache.fit

update.360-cert.com

4.红队平台

DNSLOG:beredapple.com

NPS：124.222.103.14

6.疑似影子队据点(或者是跳板)

①IP地址:183.160.221.33

反查域名：19n1qr2.cachenode.cn

域名备案主体：长沙市摩根网络科技有限公司 

②IP地址:223.87.252.110

7.红队IP

39.105.13.51（确认为红队）

101.200.56.206（确认为红队）

47.93.96.178（确认为红队）

123.56.13.1（确认为红队）

47.93.187.14（确认为红队）

101.200.85.56（确认为红队）

101.200.43.66（确认为红队）

59.110.153.184（确认为红队）

123.56.8.195（确认为红队）

60.205.189.115（确认为红队）

59.110.162.202（确认为红队）

60.205.176.89（确认为红队

---

上期中将名单公示如下：

请及时加浪飒微信确认尺码及收货信息等

原文始发于微信公众号（浪飒sec）：2022HW威胁情报共享（文末公示中奖名单）