2023年8月16日19:37:52评论41 views字数 2045阅读6分49秒阅读模式

8月16 - Hvv钓鱼样本主题及events02.huawei.com追踪

根据钓鱼行为-在微步情报局8月10日，提供3项目捕获的主题样本，跟踪随后发现的新增样本主题。

样本名称：关于统一2023年度各项社会保险缴费工资基数上下限的通告.exeSHA-256:24f23ae6ca9a0f9f36faa116687062fb39a2fda328c1b41dc7049ead12e4dc20最后一次披露时间：2023-08-12 09:25:26样本名称：单位职称人员情况统计表.exeSHA-256:7cee9a39a2f28db35f55257b24c3aebbff8597bfd7fa72057d54d4316a5464b9最后一次披露时间：2023-08-14 11:53:43
样本名称：安全插件.exeSHA-256:99fbce03fe5d20be405d6d42a289df53939fa9331e44794044de1af414486350最后一次披露时间：2023-08-15 02:49:45
样本名称：**衡出轨事实.zipSHA-256:e522fa4bbd3368bcfa27068a39e91e4d54128f784a47d9536a9cfdb6d4771e82最后一次披露时间：2023-08-14 02:59:56
样本名称：关于官网注册后信息有关问题的反馈.exeSHA-256:7f7990d7caebf089b056555f2e6c6519d58c38e0aa8276322c11175bfa3c987e最后一次披露时间：2023-08-16 05:41:45

字节跳动-刘*龙的简历样本后通过恶意域追踪15日，高风险钓鱼IP地址为：36.99.188.109，额外新增10项恶意样本（不排除样本检测测试可能）在每一次提交71个或64指标最后检测最低样本指标为5/71（有两个EXE）

一、 events02.huawei.com追踪

8月16 - Hvv钓鱼样本主题及events02.huawei.com追踪

恶意软件 ICCClient.exe

恶意名称：ICCClient.exe（伪装客户端）体积14.39MB，YARA 签名匹配中5个，其中一些是重复报警：

SHA-256：6ef88b0238d639a377a80cb9c86b90af71644cd8e975a516b2c49e5ecdbc4c01

检测可疑双精度Base64 编码的 kernel32 函数，如 OpenProcess、WriteProcessMemory 和CreateRemoteThre
检测编码关键字- GetProcAddress
检测编码和加密的 CobaltSrike信标

恶意软件 CPC.exe

恶意名称为：CPC 5/70 体积19.47MB这个是15日未更新的情况，根据最开始那张恶意列表的图，这个CPC最后更改是15日，后来我刷新了一下，AV显示16日凌晨1点左右有更新动作行为，变了成8/71的检测指标

SHA-256：d0e07185e94799aeb86b32dba29f54fb2ad27633a3f827c9f7158c01379be4fa

YARA 签名匹配中5个，其中一些是重复报警：

检测可疑双精度Base64 编码的 kernel32 函数，如 OpenProcess、WriteProcessMemory 和CreateRemoteThre
检测编码关键字- GetProcAddress
检测编码和加密的 CobaltSrike信标

以上可猜测为python打包，轻便，快捷，因为体积基本很大也比较，制作手法基本一致，并无太多其它痕迹，YARA规则捕获也是通过相关的编码加密、危险函数进行编码行为进行告警。

二、样本关联UR

15日的样本包括CPC、ICCClient关系通信URL几乎是：http://cloud.10086.cn/mall_100_100.html，根据红雨滴最初报告样本是使用了域前置隐藏真实C2服务器（CDN隐藏通信手法）。

8月16 - Hvv钓鱼样本主题及events02.huawei.com追踪

追溯15日样本，可以追溯相关关联的URL为以下：

http://kunpeng.huawei.com/mall_100_100.htmlhttps://events02.huawei.com/mall_100_100.htmlhttp://developer.huawei.com/mall_100_100.htmlhttp://cloud.10086.cn/mall_100_100.html

三、关联域

events02.huawei.com.c.cdnhwc1.comevents02.huawei.comhcdnwsa.global.c.cdnhwc6.comhcdnw1256.global.c.cdnhwc6.comwww.hikunpeng.com.0bda5447.cdnhwc8.cncloud.10086.cndeveloper.huawei.com

8月16 - Hvv钓鱼样本主题及events02.huawei.com追踪

感谢您抽出

来阅读本文

8月16 - Hvv钓鱼样本主题及events02.huawei.com追踪

点它，分享点赞在看都在这里

原文始发于微信公众号（Ots安全）：8月16 - Hvv钓鱼样本主题及events02.huawei.com追踪

左青龙
微信扫一扫

右白虎
微信扫一扫

8月16 - Hvv钓鱼样本主题及events02.huawei.com追踪

一、 events02.huawei.com追踪

三、关联域

某地级市攻防技战术提炼

护网怎么做，护网前、护网中，护网后，总共60道工序，一道一道讲清楚

记一次重保期间的实战溯源反制

实战攻防:记一次市级hw

技术交流分享-HW实战案例复盘

【2024HW】|3-红队 | 外网快速打点方法&技巧总结

HW红队常用命令速查大全

阿里云无法绕过的某地市级红队攻防

2024HW攻防演练之资产收敛

实战 | 浅谈省护红队的经历

发表评论

在线咨询

微信